El comando geli para inicializar la criptografia en nuestro disco duro es el siguiente:
Código:
geli init -a hmac/sha256 -b -e AES-XTS -l 256 -s 4096 -i 524288 -B /tmp/USBTEMP/backup_metadata.eli -K /tmp/USBTEMP/da1p1.key da1p1
Obviamente hablamos de una instalacion nueva. No se puede en una instalacion preexistente, a no ser que vallamos a mover toda nuestra informaacion de un disco duro sin cifrar a algun disco duro cifrado.
Previamente necesitamos crear un archivo "llave" de manera aleatoria con DD
Código:
dd if=/dev/random of=/tmp/USBTEMP/da1p1.key bs=4096 iseek=128 count=32
Esto nos genera un archivo de 128 Kilobytes (bs=4096 * count=32) de informacion aleatoria, pasandole este archivo a geli, necesitaremos este archivo cada vez que iniciemos nuestro ordenador, y mas nos vale tener al menos otras 3 copias de seguridad de dicho archivo.
Sumado al archivo en la memoria USB para poder cargar nuestro sistema tendremos:
- Disco Duro cirado con AES-XTS y una clave de 256 bits
- Autenticacion de sectores del disco usando hmac/sha256
- La Autenticacion con hmac/sha256 Envita que nos ataquen usando Replay
- Peticion de passphrase Antes de montar el Disco Duro principal
- El passphare es juntado con el salt y nuestro archivo de 128 Kilobytes y derivado 524288 veces para poder descifrar la clave maestra previamente cifrada y guardada en la metadata
La unica desventaja que le veo a esta implementacion es:
- Disminucion del Performance al momento de Leer/Escribir informacion en el disco ya que todo es cifrado.
- Lo anterior pordria ser mitigado Teniendo algun Hardware acelarador para operaciones criptograficas y un Disco Duro de Estado solido.
- Disminucion de Capacidad de almacenamiento, Dado que estamos usando un sistema de Autenticacion, este necesita guardar los checksum de cada sector de disco para determinar que no han sido modificados por terceros
- Ejemplo de lo Anterior un Disco Duro de 22 Gigabytes termina con capacidad de 19 GB. Pierde al rededor de 14% de Almacenamiento dedicado para la Autenticacion de la información
Saludos!
Source: https://albertobsd.blogspot.mx/2017/09/recomendacion-para-disco-duro-cifrado.html