🔐 LUKS: Disk Encryption su Linux

Focus: Cifratura dei volumi tramite dm-crypt e gestione degli slot di chiave.

::: info LUKS (Linux Unified Key Setup) è lo standard per la cifratura dei dischi su sistemi Linux. A differenza di BitLocker, LUKS è estremamente granulare e permette di gestire più chiavi (slot) per sbloccare lo stesso volume. :::

1. Architettura LUKS

LUKS opera a livello di blocco (Layer 2), posizionandosi tra l’hardware fisico e il File System (EXT4/XFS/ZFS). Utilizza il modulo del kernel dm-crypt.

• Anti-Forensics: I dati sono cifrati tramite AES-XTS.
• Key Slots: Ogni volume ha 8 slot (nella versione 1) o 32 (nella versione 2) per chiavi diverse.
• Header: Contiene i metadati critici. Se l’header viene danneggiato, i dati sono persi per sempre.

2. Operazioni da Terminale (cryptsetup)

In ambito Linux, la gestione avviene quasi esclusivamente tramite la CLI.

Inizializzare un volume cifrato

# Formatta la partizione sdb1 con LUKS
sudo cryptsetup luksFormat /dev/sdb1

Aprire e Chiudere il volume

# Sblocca il volume e lo mappa come 'storage_cifrato'
sudo cryptsetup open /dev/sdb1 storage_cifrato

# Chiude il volume (smonta prima il filesystem!)
sudo cryptsetup close storage_cifrato

Gestione degli Slot (Aggiungere una chiave)

# Aggiunge una seconda password per un collaboratore o backup
sudo cryptsetup luksAddKey /dev/sdb1

📉 Workflow di Boot Linux FDE (Mermaid)

graph TD
    BOOT[BIOS/UEFI Load GRUB] --> KERNEL[Kernel & Initramfs]
    KERNEL --> PROMPT[Richiesta Password LUKS]
    PROMPT -->|Validazione| MAPPING[Mapping /dev/mapper/root]
    MAPPING --> MOUNT[Mount Root Filesystem]
    MOUNT --> SYSTEM[Avvio OS Services]

3. Operazione Critica: Backup dell’Header

In BitLocker abbiamo la chiave di ripristino; in LUKS dobbiamo fare il backup del Luks Header. Se i primi settori del disco si corrompono, il backup dell’header è l’unica salvezza.

# Esporta l'header in un file esterno
sudo cryptsetup luksHeaderBackup /dev/sdb1 --header-backup-file backup_header.img

💡 Note dell’Ingegnere (Critical Thinking)

• Performance: Assicurati di usare l’accelerazione hardware aes-ni. Verifica con cryptsetup benchmark.
• SSD Trim: Per gli SSD, la cifratura può impattare sulla longevità. Valuta l’abilitazione dell’opzione --allow-discards (attenzione: espone leggermente quali settori del disco sono vuoti).
• TPM Integration: Su Linux moderno (systemd-cryptenroll), è possibile legare lo sblocco di LUKS al chip TPM2, proprio come Windows, per evitare di digitare la password a ogni boot.

Ultimo aggiornamento: {{UPDATE_DATE}} | Tags: #Linux #Security #LUKS #Encryption #Privacy