Configuración de clave unificada de Linux

format_list_bulleted Contenido keyboard_arrow_down

ImprimirCitar

La configuración de clave unificada de Linux (LUKS) es una especificación de cifrado de disco creada por Clemens Fruhwirth en 2004 y pensada originalmente para Linux.

LUKS implementa un formato estándar en disco independiente de la plataforma para su uso en diversas herramientas. Esto facilita la compatibilidad e interoperabilidad entre diferentes programas y sistemas operativos, y garantiza que todos implementen la gestión de contraseñas de manera segura y documentada.

Descripción

LUKS se utiliza para cifrar un dispositivo de bloque. El contenido del dispositivo cifrado es arbitrario y, por lo tanto, se puede cifrar cualquier sistema de archivos, incluidas las particiones de intercambio. Hay un encabezado sin cifrar al principio de un volumen cifrado, que permite almacenar hasta 8 (LUKS1) o 32 (LUKS2) claves de cifrado junto con parámetros de cifrado como el tipo de cifrado y el tamaño de la clave.

La presencia de este encabezado es una diferencia importante entre LUKS y dm-crypt, ya que el encabezado permite utilizar varias frases de contraseña diferentes, con la posibilidad de cambiarlas y eliminarlas. Si el encabezado se pierde o se corrompe, el dispositivo ya no podrá descifrarse.

El cifrado se realiza con un enfoque de múltiples capas. En primer lugar, el dispositivo de bloque se cifra utilizando una clave maestra. Esta clave maestra se cifra con cada clave de usuario activa. Las claves de usuario se derivan de frases de contraseña, claves de seguridad FIDO2, TPM o tarjetas inteligentes. El enfoque de múltiples capas permite a los usuarios cambiar su frase de contraseña sin volver a cifrar todo el dispositivo de bloque. Las ranuras de clave pueden contener información para verificar las frases de contraseña de usuario u otros tipos de claves.

Existen dos versiones de LUKS: LUKS2 presenta resistencia a la corrupción de encabezados y utiliza la función de derivación de claves Argon2 de forma predeterminada, mientras que LUKS1 utiliza PBKDF2. La conversión entre ambas versiones de LUKS es posible en ciertas situaciones, pero es posible que algunas funciones no estén disponibles con LUKS1, como Argon2. LUKS2 utiliza JSON como formato de metadatos.

Los algoritmos criptográficos disponibles dependen de la compatibilidad del kernel individual del host. Libgcrypt se puede utilizar como backend para el hash, que admite todos sus algoritmos. Depende del proveedor del sistema operativo elegir el algoritmo predeterminado. LUKS1 utiliza una técnica antiforense llamada AFsplitter, que permite el borrado y la protección seguros de los datos.

LUKS con LVM

La gestión de volúmenes lógicos se puede utilizar junto con LUKS.

LVM en LUKS: Cuando LVM se utiliza en un contenedor LUKS desbloqueado, todas las particiones subyacentes (que son volúmenes lógicos LVM) se pueden encriptar con una sola llave. Esto es similar a dividir un contenedor LUKS en múltiples particiones. La estructura LVM no es visible hasta que el disco se descifra.
LUKS en LVM: Cuando LUKS se utiliza para encriptar volúmenes lógicos LVM, un volumen cifrado puede abarcar varios dispositivos. El grupo de volumen LVM subyacente es visible sin descifrar los volúmenes cifrados.

Cifrado completo de disco

Un uso común de LUKS es proporcionar cifrado de disco completo, lo que implica cifrar la partición raíz de una instalación de sistema operativo, lo que protege los archivos del sistema operativo contra la manipulación o lectura por parte de terceros no autorizados.

En un sistema Linux, la partición de arranque (/boot) puede estar cifrada si el propio gestor de arranque admite LUKS (por ejemplo, GRUB). Esto se hace para evitar la manipulación del núcleo de Linux. Sin embargo, el gestor de arranque de primera etapa o una partición del sistema EFI no se pueden cifrar (consulte Cifrado de disco completo#El problema de la clave de arranque).

En los sistemas Linux móviles, postmarketOS ha desarrollado osk-sdl para permitir que un sistema con disco encriptado completo se desbloquee mediante una pantalla táctil.

Para los sistemas que ejecutan systemd, se puede utilizar el componente systemd-homed para cifrar directorios de inicio individuales.

Apoyo al sistema operativo

La implementación de referencia para LUKS funciona en Linux y se basa en una versión mejorada de cryptsetup, que utiliza dm-crypt como backend de cifrado de disco. En Microsoft Windows, los discos cifrados con LUKS se pueden utilizar a través del Subsistema de Windows para Linux. (Anteriormente, esto era posible con LibreCrypt, que actualmente tiene agujeros de seguridad fundamentales y que sucedió a FreeOTFE, anteriormente DoxBox).

DragonFly BSD es compatible con LUKS.

Soporte de instalación

Varias distribuciones de Linux permiten cifrar el dispositivo raíz al instalar el sistema operativo. Entre estos instaladores se incluyen Calamares, Ubiquity, Debian-Installer y otros.

Formato en disco

Los encabezados LUKS son compatibles con versiones anteriores; las versiones más nuevas de LUKS pueden leer encabezados de versiones anteriores.

LUKS1

LUKS1 Header
Offset		Tipo de datos	Descripción
000	000_Hex	char[6]	Número mágico {'L', 'U', 'K', 'S', 0xBA, 0xBE }
006	006_Hex	uint16_t	Versión LUKS (0x0001 para LUKS1)
008	008_Hex	char[32]	Algoritmo Cipher (por ejemplo, "dos peces", "aes")
040	028_Hex	char[32]	Modo Cipher (por ejemplo, "cbc-essiv:sha256")
072	048_Hex	char[32]	Función de hash crioptográfica (por ejemplo "sha1", "ripemd160")
104	068_Hex	uint32_t	offset de carga (posición de datos cifrados) en 512 offsets de byte
108	06C_Hex	uint32_t	Número de bytes clave
112	070_Hex	char[20]	PBKDF2 master key checksum
132	084_Hex	char[32]	PBKDF2 parámetro de sal clave principal
164	0A4_Hex	uint32_t	PBKDF2 master key iterations (Default: 10)
168	0A8_Hex	char[40]	UUID de la partición (por ejemplo, "504c9fa7-d080-4acf-a829-73227b48fb89")
208	0D0_Hex	(48 Bytes)	Keyslot 1
...
544	220_Hex	(48 Bytes)	Keyslot 8
592 Bytes total

Formato de cada keylot
Offset	Tipo de datos	Descripción
00	uint32_t	Estado de keylot: Active=0x00AC71F3; Disabled=0x0000DEAD
04	uint32_t	Parámetro de iteración PBKDF2
08	char[32]	Parámetro de sal PBKDF2
40	uint32_t	Sector de inicio de clave
44	uint32_t	Número de rayas antiforenses (por defecto: 4000)
48 Bytes total

LUKS2

Los dispositivos LUKS2 comienzan con un encabezado binario destinado a permitir el reconocimiento y la detección rápida por parte de blkid, que también contiene información como sumas de comprobación. Todas las cadenas utilizadas en un encabezado LUKS2 son cadenas terminadas en nulo. Inmediatamente después del encabezado binario viene el área JSON, que contiene los objetos config (configuración), keyslots, digests, segments (describe áreas cifradas en el disco) y tokens que contienen metadatos adicionales.

El formato binario de las ranuras de clave luks2 normales es en su mayoría similar al de su predecesor, con la adición de diferentes algoritmos por ranura de clave. Existe otro tipo de clave para permitir redundancia en caso de que se interrumpa un proceso de reencriptación.

Ejemplos

Cryptsetup es la implementación de referencia de la interfaz LUKS.

Para cifrar un dispositivo con la ruta /dev/sda1:

# cryptsetup luks Formato /dev/sda1

Para desbloquear un dispositivo cifrado, donde name es el nombre del dispositivo asignado:

# cryptsetup abierto /dev/sda1 Nombre

Re-encriptación

Se puede volver a cifrar un contenedor LUKS con la herramienta cryptsetup o con una herramienta heredada llamada cryptsetup-reencrypt. Estas herramientas también se pueden utilizar para agregar cifrado a un sistema de archivos no cifrado existente o eliminar el cifrado de un dispositivo de bloque.

Ambos métodos tienen una sintaxis similar:

# cryptsetup reencriptado /dev/sda1

# cryptsetup-reencrypt /dev/sda1

Véase también

Comparación del software de encriptación de disco

Referencias

^ Fruhwirth, Clemens (2018-01-20). "LUKS On-Disk Format Specification Version 1.2.3" (PDF). Retrieved 2021-09-23.
^ "Encrypting drives using LUKS". Fedora Docs. Retrieved 6 de mayo 2022.
^ a b c "Capítulo 12. Encrypting block devices using LUKS". Portal de clientes de Red Hat.
^ "Cómo cifrar disco duro (partición) usando LUKS en Linux". 27 febrero 2019.
^ "Cómo cifrar sus datos con la dm-crypt". Linode22 de noviembre de 2022.
^ Bossi, Simone; Visconti, Andrea (2015). "Lo que los usuarios deben saber sobre cifrado completo de disco basado en LUKS" (PDF). {{cite journal}}: Cite journal requires |journal= (Ayuda)
^ "Sisted-cryptenroll - ArchWiki". wiki.archlinux.org. Retrieved 2023-11-22.
^ "Cómo encriptar un contenedor LUKS usando una tarjeta inteligente o token". 20 de abril de 2014.
^ "Cómo LUKS trabaja con Full Disk Encryption en Linux". 25 septiembre 2021.
^ a b c "on-disk-format-luks2.pdf" (PDF)7 de marzo de 2024.
^ a b cryptsetup(8) – Linux Administración y Privileged Commands Manual
^ "Breaking LUKS Encryption". eForensics21 de agosto de 2020.
^ "AFsplitter".
^ a b c "dm-crypt/Encrypting an entire system". Retrieved 6 de mayo 2022.
^ "Arch with LVM on LUKS".
^ "LUKS on LVM: encrypted logical volumes and secure backups". 12 de septiembre de 2014.
^ "Home Directories". sistematizado.
^ "Servicing the Windows Subsystem for Linux (WSL) 2 Linux Kernel". Blogs de Microsoft Developer16 de abril de 2021.
^ "LibreCrypt". GitHub27 de julio de 2022.
^ "La ley en el conductor permite la escalada de privilegios. Comentario buscado · Edición #38 · t-d-k/LibreCrypt". GitHub30 de septiembre de 2015.
^ "Driver permite escribir a dispositivos arbitrarios · Edición #39 · t-d-k/LibreCrypt". GitHub7 de octubre de 2015.
^ "La lista de características principales de DragónFly". Retrieved 6 de mayo 2022.
^ Michael Larabel (8 de mayo de 2016). "Calamares Installer agrega soporte de encriptación LUKS". Phoronix.
^ "Cómo cifrar tu disco duro en Ubuntu". Hacer Tech más fácil13 de enero de 2017.
^ "PartmanCrypto". Debian. Retrieved 6 de mayo 2022.
^ a b "LUKS On-Disk Format Specification" (PDF).
^ "CRYPTSETUP-REENCRYPT(8) Man page". man7.org.

Enlaces externos

Sitio oficial
Preguntas frecuentes (FAQ)
LibreCrypt: Implementación para Windows
Especificación LUKS1
Especificación LUKS2

v t e Linux
Linux kernel	Historia Ley de Linus Linux-libre Proceso de arranque Oops de kernel Tux más...
Controversias	Crítica de Linux Criticismo del escritorio Linux GNU/Linux noming controversia Tanenbaum–Torvalds debate SCO y Linux
Distribución	Comparación general Lista de distribución Comparación netbook-specific Distribución que funciona desde la RAM Ligero Sistema operativo centrado en la seguridad Administrador de paquetes Formato del paquete Lista de administradores de paquetes de software
Organizaciones	LinuxChix Linux Counter Linux Documentation Project Linux Foundation Linux Mark Institute Grupo de usuarios de Linux (LUG)
Adopción	Aprobadores Escritorio Embedded Gaming Móvil Gama de uso Linux malware
Media	DistroWatch Free Software Magazine Círculo completo Hacker Public Radio Linux.com Formato Linux Linux Gazette Linux Journal Linux Magazine LinuxUser Ubuntu Usuario Linux Outlaws Linux Voice LugRadio LWN.net Phoronix Revolution OS El Código
Certificaciones profesionales relacionadas	CompTIA Linux+ Linux Foundation Red Hat Ubuntu
Portal de Linux Portal de software libre y de código abierto Categoría

Software criptográfico

Clientes de correo electrónico

Apple Mail
Autocrypt
Claws Mail
Enigmail
GPG (Gpg4win)
Kontact
Outlook
p≡p
PGP
Sylpheed
Thunderbird

Telecomunicaciones garantizadas

OTR	Adium BitlBee Centericq ChatSecure climm Jitsi Kopete Profanidad
SSH	Dropbear lsh OpenSSH PuTTY SecureCRT WinSCP wolfSSH
TLS & SSL	BBM Enterprise Bouncy Castle BoringSSL Botan cryptlib GnuTLS JSSE LibreSSL MatrixSSL NSS OpenSSL Mbed TLS BSAFE SChannel SSLeay stunnel TeamNote wolfSSL
VPN	Punto de control VPN-1 Hamachi Openswan OpenVPN Suave Ether VPN fuerte Swan Tinc WireGuard
ZRTP	Jitsi Linphone Jami Zfone
P2P	Bitmessage Briar RetroShare Tox
DRA	Matriz OMEMO Cryptocat ChatSecure Proteus Período de sesiones Protocolo de firma Facebook Messenger Google Allo Mensajes de Google Signal TextSecure WhatsApp SimpleX

Encriptación de discos
(Comparison)

BestCrypt
BitLocker
CrossCrypt
Cryptoloop
dm-crypt
Entrada
E4M
eCryptfs
FileVault
FreeOTFE
GBDE
geli
LUKS
PGPDisk
Private Disk
Scramdisk
Sentry 2020
TrueCrypt
- Historia
VeraCrypt

Anónimo

GNUnet
I2P
Java Anon Proxy
Tor
Vidalia
RetroShare
Ricochet
Wickr

Sistemas de archivos (Lista)

EncFS
EFS
eCryptfs
LUKS
PEFS
Rubberhose
StegFS
Tahoe-LAFS

Sistema de operaciones centrado en la seguridad

Tails
Qubes

Proveedores de servicios

Freenet
Tresorit
Wuala
NordLocker

Educación

CrypTool

Anti-computer forensics

USB Matar
BusKill

Temas relacionados

Esquema de criptografía
Timeline of cryptography
Funciones de Hash
- Función crioptográfica
- Lista de funciones de hash
Encriptación homomorfa
Encriptación de extremo a extremo
S/MIME

Categoría
Comunes

Más resultados...