Arch dm-cryptでデバイスを透過的に暗号化する
前座
先日ThinkPad X1を購入しました。
初期のOSとして当然Windowsが入っているわけですが、最近は初期状態でBitLockerによるデバイスの暗号化が施されているようですね。
少し感動しました。
ちなみに、Linuxを入れるためにSecureBootを無効にするとTPM(セキュリティチップ)にある鍵にアクセスできなくなりWindows起動時にデバイスをオートアンロックできなくなります。
その場合はhttps://account.microsoft.com/devices/recoverykeyに載っている49文字の鍵を入力することでアンロックできます。
本題
さて、PCを新調したのでLinuxを入れたいわけですが、Windowsだとデバイスが暗号化されているのにわざわざ手間を掛けて入れたLinuxは生でデータを保存しているというのはなんだかかっこ悪いですね。
そういう訳で、Linuxでのデバイス暗号化を行います。
この記事はArchWikiを参考にしています。ざっくりと解説はしますが詳細はWikiを見てください。
また、Archをインストールしたことがある方を基準に話を進めます。
インストールガイド - ArchWiki
- ディスク暗号化 - ArchWiki
- - dm-crypt - ArchWiki
- - - dm-crypt/ドライブの準備 - ArchWiki
- - - dm-crypt/デバイスの暗号化 - ArchWiki
- - - dm-crypt/システム設定 - ArchWiki
- - - - mkinitcpio - ArchWiki
- - - dm-crypt/スワップの暗号化 - ArchWiki
デバイスを暗号化するには
ディスク暗号化 - ArchWikiによるとLinuxにおける暗号化にはスタックファイルシステムの暗号化とブロックデバイスの暗号化があるようです。
今回はdm-cryptによるブロックデバイスの暗号化を行います。
dm-cryptはLinux標準のdevice-mapperを用いて透過的な暗号化デバイスの利用を可能にします。
dm-cryptにはLUKSモード(Linux Unified Key Setup Mode)とplainモードがあります。
詳細は省きますがplainモードよりLUKSモードのほうが賢く便利です。
LUKS
plainを使うメリットは恐らく無いためLUKSを使いましょう。
作業の流れ
この記事はdm-crypt - ArchWikiを参考に作業を進めていきます。
- Archインストール準備のパーティショニングまでを済ませる
- dm-cryptで暗号化対象のパーティションをセットアップ
- セットアップしたパーティションをマッピング
- マッピングしたデバイスに通常通りファイルシステムを作成しマウント
- 以降は非暗号化時と同様
/
をアンロックするためのGRUBとinitramfsの設定
1はパーティションを切るところまです。
ファイルシステム作成やfstabの生成はまだ待ってください。
どの様にパーティションを切るかは自由ですが、ルートパーティションとブート(ESP)パーティションは分けてください。
2によってデバイス暗号化の下地を作ります。
3で暗号化したパーティションを通常のパーティションと同じ様に扱えるようにします。
具体的には /dev/mapper
にデバイスを作成します。
4では3で作成された /dev/mapper
にあるデバイスに通常通りファイルシステムを作成しマウントします。
3でマッピングされたデバイスに対して操作を行うことで透過的に暗号デバイスを使用できます。
一部の操作では特別な手順を必要としますが、通常は非暗号化時とまったく同じ操作が可能です。
完成形
Windowsとのデュアルブートにしたかったため、パーティション構成は以下の様になりました。
マッピングされたデバイスは lsblk
コマンドではnvme0n1p5とcrypthomeのように表示されます。
/
, /home
, /boot
, swap
とWindowsのパーティションがあります。
スワップパーティションについては今回は暗号化せずそのまま使います。
暗号化されているのは /
と/home
の2つです。
/boot
にはWindowsとLinuxのブートローダーが入っています。
NAME TYPE MOUNTPOINT nvme0n1 disk ├─nvme0n1p1 part /boot (ESPパーティション) ├─nvme0n1p2 part windows-reserved ├─nvme0n1p3 part windows-recovery ├─nvme0n1p4 part windows ├─nvme0n1p5 part │ └─crypthome crypt /home ├─nvme0n1p6 part │ └─cryptroot crypt / └─nvme0n1p9 part [SWAP]
1. パーティショニング
上の完成形を目標にパーティションを切ります。
/boot
パーティションはUEFIのESPパーティションです。
最初からある(Windowsによって作られた)ものを使い回します。
既に中身がありますが、これを消すとWindowsが起動しなくなるので注意しましょう。
自分で作成するのは /
, /home
, swap
の3つです。
ArchLinuxのisoで適当なCLIを使うのもいいですが、私はManjaro Linux(XFCE)をライブ起動してGPartedを使うのをおすすめします。
軽くて使い勝手がいいのでレスキューツールとして持ち歩くといいでしょう。
2. 暗号化パーティションのセットアップ
dm-cryptの操作にはcryptsetupを使用します。
pacman -S cryptsetup
以下のようにパーティションを指定してluksFormatします。
実行するとパスフレーズの入力が求められます。
# / cryptsetup -y -v --key-size=512 luksFormat /dev/nvme0n1p6 # /home cryptsetup -y -v --key-size=512 luksFormat /dev/nvme0n1p5
--key-size
で指定した値の半分の値が実際のサイズになります。
この例ではAES-256を使用しています。
また、cryptsetup luksFormat device /path/to/mykeyfile
のようにするとパスフレーズの代わりにキーファイルを使用できます。
LUKSのオプションについてはLUKS モードの暗号化オプション - ArchWikiを見てください。
LUKSの魅力は複数の鍵を登録できることです。
せっかくなので初期のパスフレーズ(もしくはキーファイル)とは別のキーファイルを追加してみましょう。
以下のコマンドで2048ビットのキーファイルを生成できます。
保存場所(of=
)は適当に選んでください。
dd bs=512 count=4 if=/dev/urandom of=/luks_keyfile chmod 400 /luks_keyfile
既存の暗号化デバイスに新たな鍵を登録するには以下のようにします。
cryptsetup luksAddKey /dev/nvme0n1p6 /luks_keyfile cryptsetup luksAddKey /dev/nvme0n1p5 /luks_keyfile
鍵は最大8つまで登録することができます。 現在登録されている鍵を確認してみましょう。
cryptsetup luksDump /dev/nvme0n1p6 | grep BLED
3. セットアップしたパーティションをマッピング
暗号化したパーティションはそのままでは使用できません。
通常のパーティションと同じ様に扱えるようにするためにマッピングします。
cryptroot
や crypthome
などの名前は自由に付けて構いません。
cryptsetup open /dev/nvme0n1p6 cryptroot cryptsetup open /dev/nvme0n1p5 crypthome
/dev/mapper/
を確認してみましょう。
指定した名前で新たなデバイスができているはずです。
ls /dev/mapper/
これで暗号化に関する作業はほとんど終了しました。
以降、パーティションに対する操作は全て/dev/mapper/cryptroot
などの/dev/mapper/
下のデバイスに対して行います。
/dev/nvme0n1p6
などのluksFormatしたデバイスを直接操作してはいけません。
4. ファイルシステム作成とマウント
通常と同じ様にファイルシステムを作成します。
おすすめはBtrfsです。
mkfs.btrfs /dev/mapper/cryptroot mkfs.btrfs /dev/mapper/crypthome
/
, /home
, /boot
をそれぞれマウントしてみましょう。
下記の-o
から始まるマウントオプションは私がBtrfsで使っているものです。
省略して構いません。
/boot
は暗号化していないため、そのままのパスを使います。
mount -o noatime,compress=lzo,space_cache,ssd /dev/mapper/cryptroot /mnt mount -o noatime,compress=lzo,space_cache,ssd /dev/mapper/crypthome /mnt/home mount /dev/nvme0n1p1 /mnt/boot
5. システムのインストール
通常通りにシステムをインストールしましょう。
注意としてはこの記事では/
をオートアンロックするためにGRUBを使います。
今回の場合は/home
をオートアンロックするためにcrypttabを使います。
オートアンロックに使うキーファイルは/mnt/
下の適当なディレクトリにコピーしておきましょう。
echo 'crypthome /dev/nvme0n1p5 /etc/luks_keyfile' >> /mnt/etc/crypttab cp /luks_keyfile /mnt/etc/
例では分かり易さを優先してデバイスをパス指定していますが、馴れている方はUUIDを使いましょう。
この記事で前提とする/boot
のファイルツリーの抜粋を示しておきます。
/boot ├── BOOT │ └── BOOT.SDI ├── EFI │ ├── Boot │ │ ├── LenovoBT.EFI │ │ ├── License.txt │ │ ├── ReadMe.txt │ │ └── bootx64.efi │ ├── Microsoft │ │ ├── Boot │ │ └── Recovery │ └── grub │ └── grubx64.efi ├── grub │ ├── fonts │ ├── grub.cfg │ ├── grubenv │ └── x86_64-efi ├── initramfs-linux-fallback.img ├── initramfs-linux.img └── vmlinuz-linux
GRUBのインストールには以下を実行しました。
grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=grub
もし、VirtualBoxでEFIを有効にして検証している場合は /boot/EFI/grub/grubx64.efi
を /boot/EFI/boot/bootx64.efi
にリネームしてください。
6. GRUBとinitramfsの設定
この記事では/
を暗号化しましたが、OSが起動するためにはブートローダーがOSを起動する際にデバイスをアンロックしなければなりません。
起動時のアンロックには主に3つの方法があります。
- プロンプトにパスワードを入力
- 外部ストレージのキーファイルを読み込む
- initramfsにキーファイルを仕込む(あまり意味ない)
1はGRUBからOSを選択した後にプロンプトが表示され、パスワード入力が求められます。
もしあなたが1台のPCを専有(ユーザーが1人)なら、アカウントの自動ログインを有効にすることで今までと同じ回数のパスワード入力でセキュリティを高めることができます。
2はキーファイルを入れたUSBメモリなどを持ち歩くことでパスワード入力を省略できます。
デバイスを管理し持ち運ぶ手間を惜しまなければ良い方法です。
3は外部ストレージに入れるべきキーファイルをinitramfsに入れることでパスワード入力や外部ストレージを持ち運ぶ手間を省くことができます。
ただし、initramfsは暗号化されていない/boot
にあるため知識のある人間に対する防御力は0です。
GRUBからThinkPadに搭載されているセキュリティチップにアクセスできれば解決しそうですが、それはまた後日検証したいと思います。
解決方法を知っていたら是非教えてください。
この方法に残された唯一の利点はストレージを破棄する際、データの破棄が鍵の削除のみで済むことです。
私は現在パスワード入力を使っていますが、この記事では設定例として多少難しいinitramfsにキーファイルを仕込む方法を示します。
どれも設定方法はほぼ同じです。
/
を暗号化した場合のLinux起動は以下です。
- 電源が入る
- UEFIが
/boot
のGRUBを起動 - GRUBが
initramfs
でミニマムなLinuxを起動 /
をアンロック(cryptrootにマッピング)/
をルートディレクトリとしてLinuxを起動/etc/crypttab
を読み/home
をアンロック(/dev/mapper/crypthome
にマッピング)/etc/fstab
で各パーティションをマウント
mkinitcpio - ArchWiki
起動時にアンロックするためにinitramfsにフックを追加する必要があります。
/etc/mkinitcpio.conf
を開きHOOKSのudev
より後にencrypt
を挿入してください。
アンロック時にキーボードでパスワードを入力する場合はencrypt
よりも前にkeyboard
を挿入する必要があります。
また、plymouthを無効にする必要があるのでHOOKSからplymouth
を削除してください。
以下が設定例です。
BINARIESはbtrfsを使ってる場合に必要です。
もしThinkPad X1(G6)を使っていて、CSMを無効にしているならMODULES
にi915
を追加してください。
FILESにファイルパスを指定すると、initramfs内のミニマムなLinuxの/
の同じパスにファイルが配置されます。
initramfsにキーファイルを含めてオートアンロックする場合はキーファイルのパスを指定してください。
MODULES=(i915) HOOKS=(base udev autodetect modconf keyboard keymap block encrypt filesystems fsck) BINARIES=(/usr/bin/btrfs) FILES=(/etc/luks_keyfile)
設定ファイルを書き換えたらでinitramfsを再生成することで反映されます。
mkinitcpio -p linux
次に、GRUBで暗号化された/
を認識するために/etc/default/grub
のGRUB_CMDLINE_LINUX_DEFAULT
でカーネルパラメーターを設定しましょう。
GRUB_CMDLINE_LINUX_DEFAULT="quiet cryptdevice=/dev/nvme0n1p6:cryptroot cryptkey=rootfs:/etc/luks_keyfile root=/dev/mapper/cryptroot"
cryptdevice
は暗号化(luksFormst)したデバイスとマッピング後の名前をコロン区切りで指定します。
例ではデバイスのパスを指定していますが、UUID指定も可能です。
cryptdevice=UUID=aaaaaaaa-bbbb-cccc-dddd-eeee99998888:cryptroot
cryptkey
でキーファイルのパスを指定します。
これを省略すると起動時にパスワード入力のためのプロンプトが表示されます。
フォーマットはdevice
:fstype
:filepath
です。
device
には/dev/sda1
や /dev/disk/by-uuid/aaaaaaaa-bbbb-cccc-dddd-eeee11112222を指定します。
外部ストレージにキーファイルを保存する際はUUIDを使うようにしましょう。
そうでないとある日突然パスが変わりOSが起動できなくなる可能性があります。
fstypeには
vfatなどストレージのファイルシステムを指定してください。
filepathは名前の通りキーファイルまでのパスを指定します。
initramfsにキーファイルを仕込む場合は
deviceに
rootfsを指定し
fstype`を省略します。
root
はマッピング後の/
のパスです。
/dev/mapper/
下にあるデバイスを指定しましょう。
grubの設定が終わったらgrub.cfg
を再生成して変更を反映してください。
grub-mkconfig -o /boot/grub/grub.cfg
これでシステムの暗号化は完了です。
再起動し、暗号化されたデバイス上でLinuxが動作することを確認したらスワップの暗号化や暗号化されていない boot パーティションのセキュア化を試してみるのもいいでしょう。