Primer de tot, val a dir que aquesta segona part, al igual que succeeix en el cinema, pot ser força més rollo que la primera, i no aportar el més mínim plaer al/la lector/a.
Advertència: Per als/les usuaris/es de güindous, us recomano el programa FreeOFTE que permet fer el mateix que hem fet aquí, però amb passos ben senzills. PER TANT, LLEGIU AQUEST POST I QUEDEU-VOS AMB LES IDEES PRINCIPALSAquesta segona part ha estat escrita com a efemèride complementària al procés inicial (primera part) descrit per a l'obtenció del preuat Informe de la Vida Laboral de la Seg. Social.
I com a efemèride que és, aporta consells, trucs i idees; en aquest cas, de cara a manegar certificats digitals.
Comencem doncs.
Ja que el certificat idCat, s'entrega dins d'un pendrive.
No exactament aquest, però quasi...
Recreació del moment:
Solbes (sorprès) - "Esto es magia!, esto es magia!"
Bono (aclarint, amb una perogrullada) - "En muy poco cabe mucho"
--/ Bono, tranquil que jo t'ajudo. /--
--/ La frase correcta era: "En mucho (ministro) cabe muy poco (intelecto)" / --
... i ja que el pendrive amaga al seu interior el certificat, protegit amb una contrasenya; doncs em vaig entossudir a fer el mateix.
Així que vaig estar mirant i remirant webs, i vaig estar toquetejant el meu idCat.
Finalment, eus aquí un tutorial de com fer el mateix, emprant, en aquest cas, l'idCat de la Natz.
Objectiu #1: Fer lloc al pendrive idCat per a "desar-hi" el nou certificat.
Pas 1 - Si tenim un particionador de discos millor que millor, sinó, ens en busquem un, i l'obrim.
En el meu cas he usat el GParted (per a distribucions de GNU\Linux basades en Debian, aquest programa pertany al paquet del mateix nom)
Pas 2 - I res, doncs senzillament he fet espai (buit):
He triat el pendrive (/dev/sdd en el meu cas).
I he seleccionat la partició més gran (/dev/sdd1).
Com que sols tenia ocupada la zona groga, he arrossegat el límit dret de la partició cap a l'esquerra, fins deixar disponibles 16MB al final (cantó dret) de la partició.
Nota aclaridora: 16MB és el tamany mínim necessari per a fer-hi, a posteriori, una partició FAT16.
FAT16 es el tipus de format de disc que utilitzaven els disquets de 3'1/2
Pas 3 - Crear una partició on fins ara sols hi ha espai buit
Senzillament hem d'aplicar els canvis d'allò fet fins ara.
Després, hem de seleccionar el nou espai buit de 16MB, i triar crear-hi una partició.
Aps!, no ens caldrà format, això ho deixarem per a més endavant.
Objectiu #2: Convertir la nova partició, en una partició visible, però xifrada.
Googlejant una mica he trobat una seqüència de passos força coherents que porten al resultat desitjat, i s'aproximen força a la millor de les opcions disponibles
Pas 4 - Obrim un terminal, o directament ens en hi anem i fem el següent seguit d'accions.
Primer iniciem sessió com a root.
Després executem l'ordre
dd -if=/dev/urandom -of=/dev/sdd2
dd és un aplicació del paquet coreutils de GNU que escriu a -of (output file) allò que llegeix a -if (input file)
Ara però, la gràcia d'aquesta ordre, és que el primer paràmetre pren per valor /dev/urandom.
Segons explica la documentació de urandom, aquest és un fitxer de blocs virtual, que en realitat va retornant, a mesura que el llegim, números aleatoris, que es generen en funció de diversos factors de l'estat "mil·lisegon a mil·lisegon" del nostre ordinador.
TRADUCCIÓ: És a dir, imaginem-nos que utilitzem un llenguatge secret basat en l'escriptura de punts, línies rectes i corbes. I per tal de què aquells missatges que volguem enviar als nostres contactes secrets, no siguin fàcilment desxifrables per terceres persones, encarreguem a un nen de pàrbuls que ens ompli el full del missatge plè de gargots
La tercera persona veuria la figura de l'esquerra, mentre que nosaltres (coneixedors del llenguatge amagat, sabríem interpretar el missatge ocult)
Nota mental: Per a arribar a desxifrar un gargot, realment s'han de fer moltes partides al Mordillo.
Nota mental 2: Segons com es miri, pot ser un Miró
Retornant a la nostra seqüència d'ordres
Pas seguit, executem l'ordre
cryptsetup --cipher aes-cbc-essiv:sha256 --verify-passphrase --key-size 256 luksFormat /dev/sdd2
cryptsetup és un front-end del paquet dm-crypt de GNU que serveix per a què mitjançant dm-crypt poguem xifrar unitats de disc, fitxers concrets... a partir d'instruccions concretes.
AES son les sigles de Advanced Encryption Standard. Resumint breument, és un mètode per a encriptar bit a bit els nostres fitxers. Aquest mètode, utilitza com a element de seguretat, una clau.
CBC és un mètode de reordenació de la informació, que pretenem xifrar, previ al xifratge. La idea és xula, doncs es crea confusió en les dades. Ara bé, aquest mètode, com molts dels seus anàlegs, requereix que en la primera operació que es fa, hi intervingui un Initialization Vector.
ESSIV és un mètode per a protegir-nos d'aquest tipus d'atac sobre els IV (Initialization Vectors): El watermarking. Un tipus d'atac sobre la codificació de blocs d'informació basat en la inspecció dels IV i la conseqüent deducció de la informació a la que refereixen.
SHA és una familia de funcions de Hashing. SHA256 (un dels membres de la famila) s'utilitza en aquest cas per a extendre o contraure la clau que se'ns sol·licitarà, per tal que sigui útil de cara a l'algoritme AES.
--key-size ens permet determinar la longitud en bits de la clau que es generarà a partir del password que se'ns sol·liciti.
--verify-passphrase obliga a solicitar-nos dues vegades la paraula clau (password) que s'utilitzarà en tot el procés de preparació del nostre dispositiu per a convertir-se en un fortí.
luksFormat és l'acció que realment cryptsetup durà a terme.
Rep el seu nom de l'estàndard LUKS (Linux Unified Key Setup). LUKS es va constituir amb la idea de que dispositius xifrats puguin ser accedits fàcilment des de diversos sistemes operatius.
COSA QUE NO VOL DIR QUE SIGUI FÀCIL DESENXIFRAR LA INFORMACIÓ QUE CONTENEN!!
Sinó que significa que els mètodes emprats per a accedir a la informació, i desenxifrar-la mitjançant el password sigui idèntica, o si més no, semblant.
En aquest cas es crearà un "dispositiu especial" associat a la nova partició del pendrive.
La idea essencial és que tot accés al contingut d'aquesta partició, passi per aquest "dispositiu especial"; on cada acció de lectura o escriptura de dades, passarà forçosament per xifratge.
Ara que ja hem preparat el dispositiu, podem preparar el nostre sistema per a què hi accedeixi.
cryptsetup luksOpen /dev/sdd2 certificados
luksOpen consisteix literalment en l'obertura d'accés a la partició i la disposició d'un dispositiu especial anomenat "certificados".
Fins ara tot era a punt, però faltava "batejar" el dispositiu especial, mitjançant el qual podrem accedir a la partició.
Per a construir un sistema de fitxers a la nostra partició, podrem usar l'ordre
mkfs.vfat /dev/mapper/certificados -F 16 -n Certificados
mkfs.vfat és un aplicació que s'utilitza per a formatar discos, dispositius de dades, o dit més exhaustivament, sistemes de fitxers. En aquest cas els formats possibles pertanyen a la familia FAT (que són els més usuals en els pendrives)
/dev/mapper/certificados és el dispositiu especial que hem creat.
Com és obvi d'imaginar-se, els dispositius que es creen amb luksFormat+luksOpen quedaran ubicats a /dev/mapper/.
-F és el tamany del tipus de format: 16 MB
-n és el nom de l'etiqueta (interna) del sistema de fitxers. En aquest cas hem escollit "Certificados" per a etiquetar-lo.
Un cop hem acabat, sols resta per cridar l'ordre:
cryptsetup luksClose certificados
A partir d'aquí podem enretirar el pendrive, sabent que qualsevol nova connexió del pendrive al nostre ordinador ens exigirà el password que hem especificat per tal d'accedir-hi (ja que per alguna cosa hem utilitzat l'estàndard LUKS!!!)
Nota final: Aquesta pàgina explica prou bé per què utilitzar l'encriptació en LUKS amb dm-crypt:
http://sunoano.name/ws/public_xhtml/dm-crypt_luks.html
I finalment, la 3a part, que explica com descarregar-se el certificat digital i desar-ne una còpia al pendrive (a la partició encriptada, és clar.
Vegeu doncs Connectant amb la galàxia! (3)
Cap comentari:
Publica un comentari a l'entrada
Nota: Només un membre d'aquest blog pot publicar entrades.