Arch dm-cryptでデバイスを透過的に暗号化する

linux

前座

先日ThinkPad X1を購入しました。 初期のOSとして当然Windowsが入っているわけですが、最近は初期状態でBitLockerによるデバイスの暗号化が施されているようですね。
少し感動しました。

ちなみに、Linuxを入れるためにSecureBootを無効にするとTPM(セキュリティチップ)にある鍵にアクセスできなくなりWindows起動時にデバイスをオートアンロックできなくなります。
その場合はhttps://account.microsoft.com/devices/recoverykeyに載っている49文字の鍵を入力することでアンロックできます。

本題

さて、PCを新調したのでLinuxを入れたいわけですが、Windowsだとデバイスが暗号化されているのにわざわざ手間を掛けて入れたLinuxは生でデータを保存しているというのはなんだかかっこ悪いですね。
そういう訳で、Linuxでのデバイス暗号化を行います。

この記事はArchWikiを参考にしています。ざっくりと解説はしますが詳細はWikiを見てください。
また、Archをインストールしたことがある方を基準に話を進めます。

インストールガイド - ArchWiki
- ディスク暗号化 - ArchWiki
- - dm-crypt - ArchWiki
- - - dm-crypt/ドライブの準備 - ArchWiki
- - - dm-crypt/デバイスの暗号化 - ArchWiki
- - - dm-crypt/システム設定 - ArchWiki
- - - - mkinitcpio - ArchWiki
- - - dm-crypt/スワップの暗号化 - ArchWiki

バイスを暗号化するには

ディスク暗号化 - ArchWikiによるとLinuxにおける暗号化にはスタックファイルシステムの暗号化とブロックデバイスの暗号化があるようです。
今回はdm-cryptによるブロックデバイスの暗号化を行います。

dm-cryptはLinux標準のdevice-mapperを用いて透過的な暗号化デバイスの利用を可能にします。
dm-cryptにはLUKSモード(Linux Unified Key Setup Mode)とplainモードがあります。
詳細は省きますがplainモードよりLUKSモードのほうが賢く便利です。

LUKS

  • 必要な情報の全てをディスクに保存する
  • 1つのデバイスに対して複数の鍵を保存できる
  • 利用開始後に鍵の追加・削除・変更が可能
  • 鍵はパスフレーズとキーファイルの2種類がある

plainを使うメリットは恐らく無いためLUKSを使いましょう。

作業の流れ

この記事はdm-crypt - ArchWikiを参考に作業を進めていきます。

  1. Archインストール準備のパーティショニングまでを済ませる
  2. dm-cryptで暗号化対象のパーティションをセットアップ
  3. セットアップしたパーティションマッピング
  4. マッピングしたデバイスに通常通りファイルシステムを作成しマウント
  5. 以降は非暗号化時と同様
  6. /をアンロックするためのGRUBとinitramfsの設定

1はパーティションを切るところまです。
ファイルシステム作成やfstabの生成はまだ待ってください。 どの様にパーティションを切るかは自由ですが、ルートパーティションとブート(ESP)パーティションは分けてください。
2によってデバイス暗号化の下地を作ります。
3で暗号化したパーティションを通常のパーティションと同じ様に扱えるようにします。
具体的には /dev/mapper にデバイスを作成します。
4では3で作成された /dev/mapper にあるデバイスに通常通りファイルシステムを作成しマウントします。
3でマッピングされたデバイスに対して操作を行うことで透過的に暗号デバイスを使用できます。
一部の操作では特別な手順を必要としますが、通常は非暗号化時とまったく同じ操作が可能です。

完成形

Windowsとのデュアルブートにしたかったため、パーティション構成は以下の様になりました。
マッピングされたデバイスlsblk コマンドではnvme0n1p5とcrypthomeのように表示されます。
/, /home, /boot, swapWindowsパーティションがあります。
スワップパーティションについては今回は暗号化せずそのまま使います。
暗号化されているのは //homeの2つです。
/boot にはWindowsLinuxブートローダーが入っています。

NAME           TYPE  MOUNTPOINT
nvme0n1        disk  
├─nvme0n1p1    part  /boot (ESPパーティション)
├─nvme0n1p2    part  windows-reserved
├─nvme0n1p3    part  windows-recovery
├─nvme0n1p4    part  windows
├─nvme0n1p5    part
│ └─crypthome  crypt /home
├─nvme0n1p6    part 
│ └─cryptroot  crypt /
└─nvme0n1p9    part  [SWAP]

1. パーティショニング

上の完成形を目標にパーティションを切ります。
/boot パーティションUEFIのESPパーティションです。
最初からある(Windowsによって作られた)ものを使い回します。
既に中身がありますが、これを消すとWindowsが起動しなくなるので注意しましょう。
自分で作成するのは /, /home, swapの3つです。
ArchLinuxのisoで適当なCLIを使うのもいいですが、私はManjaro Linux(XFCE)をライブ起動してGPartedを使うのをおすすめします。
軽くて使い勝手がいいのでレスキューツールとして持ち歩くといいでしょう。

2. 暗号化パーティションのセットアップ

dm-crypt/デバイスの暗号化 - ArchWiki

dm-cryptの操作にはcryptsetupを使用します。

pacman -S cryptsetup

以下のようにパーティションを指定してluksFormatします。
実行するとパスフレーズの入力が求められます。

# /
cryptsetup -y -v --key-size=512 luksFormat /dev/nvme0n1p6
# /home
cryptsetup -y -v --key-size=512 luksFormat /dev/nvme0n1p5

--key-sizeで指定した値の半分の値が実際のサイズになります。
この例ではAES-256を使用しています。
また、cryptsetup luksFormat device /path/to/mykeyfile のようにするとパスフレーズの代わりにキーファイルを使用できます。
LUKSのオプションについてはLUKS モードの暗号化オプション - ArchWikiを見てください。

LUKSの魅力は複数の鍵を登録できることです。
せっかくなので初期のパスフレーズ(もしくはキーファイル)とは別のキーファイルを追加してみましょう。
以下のコマンドで2048ビットのキーファイルを生成できます。
保存場所(of=)は適当に選んでください。

dd bs=512 count=4 if=/dev/urandom of=/luks_keyfile
chmod 400 /luks_keyfile

既存の暗号化デバイスに新たな鍵を登録するには以下のようにします。

cryptsetup luksAddKey /dev/nvme0n1p6 /luks_keyfile
cryptsetup luksAddKey /dev/nvme0n1p5 /luks_keyfile

鍵は最大8つまで登録することができます。 現在登録されている鍵を確認してみましょう。

cryptsetup luksDump /dev/nvme0n1p6 | grep BLED

3. セットアップしたパーティションマッピング

暗号化したパーティションはそのままでは使用できません。
通常のパーティションと同じ様に扱えるようにするためにマッピングします。
cryptrootcrypthome などの名前は自由に付けて構いません。

cryptsetup open /dev/nvme0n1p6 cryptroot
cryptsetup open /dev/nvme0n1p5 crypthome

/dev/mapper/ を確認してみましょう。
指定した名前で新たなデバイスができているはずです。

ls /dev/mapper/

これで暗号化に関する作業はほとんど終了しました。
以降、パーティションに対する操作は全て/dev/mapper/cryptrootなどの/dev/mapper/下のデバイスに対して行います。
/dev/nvme0n1p6などのluksFormatしたデバイスを直接操作してはいけません。

4. ファイルシステム作成とマウント

通常と同じ様にファイルシステムを作成します。
おすすめはBtrfsです。

mkfs.btrfs /dev/mapper/cryptroot
mkfs.btrfs /dev/mapper/crypthome

/, /home, /boot をそれぞれマウントしてみましょう。
下記の-oから始まるマウントオプションは私がBtrfsで使っているものです。 省略して構いません。
/bootは暗号化していないため、そのままのパスを使います。

mount -o noatime,compress=lzo,space_cache,ssd /dev/mapper/cryptroot /mnt
mount -o noatime,compress=lzo,space_cache,ssd /dev/mapper/crypthome /mnt/home
mount /dev/nvme0n1p1 /mnt/boot

5. システムのインストール

通常通りにシステムをインストールしましょう。
注意としてはこの記事では/ をオートアンロックするためにGRUBを使います。

今回の場合は/homeをオートアンロックするためにcrypttabを使います。
オートアンロックに使うキーファイルは/mnt/下の適当なディレクトリにコピーしておきましょう。

echo 'crypthome  /dev/nvme0n1p5 /etc/luks_keyfile' >> /mnt/etc/crypttab
cp /luks_keyfile /mnt/etc/

例では分かり易さを優先してデバイスをパス指定していますが、馴れている方はUUIDを使いましょう。

この記事で前提とする/bootのファイルツリーの抜粋を示しておきます。

/boot
├── BOOT
│   └── BOOT.SDI
├── EFI
│   ├── Boot
│   │   ├── LenovoBT.EFI
│   │   ├── License.txt
│   │   ├── ReadMe.txt
│   │   └── bootx64.efi
│   ├── Microsoft
│   │   ├── Boot
│   │   └── Recovery
│   └── grub
│       └── grubx64.efi
├── grub
│   ├── fonts
│   ├── grub.cfg
│   ├── grubenv
│   └── x86_64-efi
├── initramfs-linux-fallback.img
├── initramfs-linux.img
└── vmlinuz-linux

GRUBのインストールには以下を実行しました。

grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=grub

もし、VirtualBoxEFIを有効にして検証している場合は /boot/EFI/grub/grubx64.efi/boot/EFI/boot/bootx64.efiにリネームしてください。

6. GRUBとinitramfsの設定

dm-crypt/システム設定 - ArchWiki

この記事では/を暗号化しましたが、OSが起動するためにはブートローダーがOSを起動する際にデバイスをアンロックしなければなりません。
起動時のアンロックには主に3つの方法があります。

  1. プロンプトにパスワードを入力
  2. 外部ストレージのキーファイルを読み込む
  3. initramfsにキーファイルを仕込む(あまり意味ない)

1はGRUBからOSを選択した後にプロンプトが表示され、パスワード入力が求められます。
もしあなたが1台のPCを専有(ユーザーが1人)なら、アカウントの自動ログインを有効にすることで今までと同じ回数のパスワード入力でセキュリティを高めることができます。

2はキーファイルを入れたUSBメモリなどを持ち歩くことでパスワード入力を省略できます。
バイスを管理し持ち運ぶ手間を惜しまなければ良い方法です。

3は外部ストレージに入れるべきキーファイルをinitramfsに入れることでパスワード入力や外部ストレージを持ち運ぶ手間を省くことができます。
ただし、initramfsは暗号化されていない/bootにあるため知識のある人間に対する防御力は0です。
GRUBからThinkPadに搭載されているセキュリティチップにアクセスできれば解決しそうですが、それはまた後日検証したいと思います。 解決方法を知っていたら是非教えてください。
この方法に残された唯一の利点はストレージを破棄する際、データの破棄が鍵の削除のみで済むことです。

私は現在パスワード入力を使っていますが、この記事では設定例として多少難しいinitramfsにキーファイルを仕込む方法を示します。
どれも設定方法はほぼ同じです。

/を暗号化した場合のLinux起動は以下です。

  1. 電源が入る
  2. UEFI/bootGRUBを起動
  3. GRUBinitramfsでミニマムなLinuxを起動
  4. /をアンロック(cryptrootにマッピング)
  5. /をルートディレクトリとしてLinuxを起動
  6. /etc/crypttabを読み/homeをアンロック(/dev/mapper/crypthomeマッピング)
  7. /etc/fstabで各パーティションをマウント

mkinitcpio - ArchWiki
起動時にアンロックするためにinitramfsにフックを追加する必要があります。
/etc/mkinitcpio.confを開きHOOKSのudevより後にencryptを挿入してください。
アンロック時にキーボードでパスワードを入力する場合はencryptよりも前にkeyboardを挿入する必要があります。
また、plymouthを無効にする必要があるのでHOOKSからplymouthを削除してください。

以下が設定例です。
BINARIESはbtrfsを使ってる場合に必要です。
もしThinkPad X1(G6)を使っていて、CSMを無効にしているならMODULESi915を追加してください。 FILESにファイルパスを指定すると、initramfs内のミニマムなLinux/の同じパスにファイルが配置されます。
initramfsにキーファイルを含めてオートアンロックする場合はキーファイルのパスを指定してください。

MODULES=(i915)
HOOKS=(base udev autodetect modconf keyboard keymap block encrypt filesystems fsck)
BINARIES=(/usr/bin/btrfs)
FILES=(/etc/luks_keyfile)

設定ファイルを書き換えたらでinitramfsを再生成することで反映されます。

mkinitcpio -p linux

次に、GRUBで暗号化された/を認識するために/etc/default/grubGRUB_CMDLINE_LINUX_DEFAULTカーネルパラメーターを設定しましょう。

GRUB_CMDLINE_LINUX_DEFAULT="quiet cryptdevice=/dev/nvme0n1p6:cryptroot cryptkey=rootfs:/etc/luks_keyfile root=/dev/mapper/cryptroot"

cryptdeviceは暗号化(luksFormst)したデバイスマッピング後の名前をコロン区切りで指定します。
例ではデバイスのパスを指定していますが、UUID指定も可能です。
cryptdevice=UUID=aaaaaaaa-bbbb-cccc-dddd-eeee99998888:cryptroot

cryptkeyでキーファイルのパスを指定します。
これを省略すると起動時にパスワード入力のためのプロンプトが表示されます。
フォーマットはdevice:fstype:filepathです。
deviceには/dev/sda1や /dev/disk/by-uuid/aaaaaaaa-bbbb-cccc-dddd-eeee11112222を指定します。 外部ストレージにキーファイルを保存する際はUUIDを使うようにしましょう。 そうでないとある日突然パスが変わりOSが起動できなくなる可能性があります。 fstypeにはvfatなどストレージのファイルシステムを指定してください。 filepathは名前の通りキーファイルまでのパスを指定します。 initramfsにキーファイルを仕込む場合はdevicerootfsを指定しfstype`を省略します。

rootマッピング後の/のパスです。 /dev/mapper/下にあるデバイスを指定しましょう。

grubの設定が終わったらgrub.cfgを再生成して変更を反映してください。

grub-mkconfig -o /boot/grub/grub.cfg

これでシステムの暗号化は完了です。
再起動し、暗号化されたデバイス上でLinuxが動作することを確認したらスワップの暗号化暗号化されていない boot パーティションのセキュア化を試してみるのもいいでしょう。