Ubuntu’da Tam Disk Şifrelemesi (FDE)
Ubuntu, uzun bir geçmişi olan ve bilgisayar güvenliğini en üst düzeye çıkarmayı hedefleyen bir işletim sistemidir. Bu amaç doğrultusunda, tam disk şifrelemesi (FDE), Ubuntu’nun güvenlik stratejisinin ayrılmaz bir parçasıdır. Temel misyonu, bilgisayarların kaybolması veya yetkisiz erişim gibi risklere karşı verilerinizi korumaktır.
15 yıldan fazla bir süredir, Ubuntu’nun FDE yaklaşımı, kullanıcıların kimlik doğrulamasını kullanıcı tarafından sağlanan parolalara dayandırmaktadır. Ancak Ubuntu Core’da FDE, Core 20’den itibaren güvenilir platform modülleri (TPM’ler) kullanılarak tasarlanmış ve uygulanmıştır.
Ubuntu Core’un FDE tasarımını temel alarak, bu güzel özellik Ubuntu 23.10 (Mantic Minotaur) sürümüyle birlikte klasik Ubuntu Masaüstü sistemlerine de getirilecektir. Bu, desteklenen platformlarda parolalara artık ihtiyaç duyulmayacağı ve verilerinizin şifresini çözmek için kullanılan anahtarın bir TPM tarafından korunacağı anlamına gelir. Bu anahtar, yalnızca erken önyükleme yazılımı tarafından otomatik olarak kurtarılır ve verilere erişme yetkisine sahiptir. Kullanılabilirlik iyileştirmelerinin yanı sıra, TPM destekli FDE aynı zamanda “kötü hizmetçi” saldırılarına karşı da koruma sağlar, çünkü artık son kullanıcılara yönelik önyükleme yazılımının (initrd) kimliğini doğrulamak için bir yol bulunmamaktadır.
Ubuntu’da Tam Disk Şifrelemesi Nasıl Oluşturulur?
Ubuntu’da tam disk şifrelemesi, Linux Birleşik Anahtar Kurulumu (LUKS) çerçevesini kullanarak blok düzeyinde disk şifrelemesi sağlar. FDE’yi oluşturmanın ana adımları şunlardır:
1. Şifreleme İşlemi Kurulumu: Ubuntu’da LUKS kullanarak tam disk şifrelemesi ayarladığınızda, parola veya anahtar sağlamanız istenecektir.
2. LUKS Header Oluşturma: Parolanız doğrudan şifreleme anahtarı olarak kullanılmaz. Daha güvenli bir şifreleme anahtarı üreten ve sonra ana şifreleme anahtarını şifrelemek için kullanılan, hesaplama açısından maliyetli bir anahtar türetme sürecinden geçer. Bu şifrelenmiş anahtar, diğer gerekli bilgilerle birlikte, şifrelenmiş cihazın başlığında saklanır.
3. Önyüklemede Parola İstemi: Ubuntu sistemini başlattığınızda, initrd sizden başlangıçta sağladığınız parolayı girmenizi ister. Bu parola, LUKS başlığının şifresini çözmek, şifreleme anahtarını almak ve şifrelenmiş cihazın kilidini açmak için kullanılır.
4. Cihaz Eşleyici Entegrasyonu: Şifrelenmiş cihaz, cihaz eşleyici alt sistemi kullanılarak sanal bir blok cihaza eşlenir. Bu sanal cihaz, veriler cihazdan okunurken veya cihaza yazılırken, verileri anında şeffaf bir şekilde şifreler ve şifresini çözer.
5. Şifre Çözme ve Veri Erişimi: Şifrelenmiş cihazın kilidi açıldığında, cihaz eşleyici alt sistemi okundukça verilerin şifresini çözer ve işletim sistemi ile uygulamaların verilere erişmesine olanak tanır. Veriler, cihaza yazılırken anında şifrelenir.
LUKS, çeşitli şifreleme algoritmalarının ve modlarının kullanılmasına olanak tanır, bu da ihtiyaçlarınıza uygun güvenlik ve performans düzeyini seçme esnekliği sağlar. Ubuntu, XTS şifreleme moduna sahip AES-256 gibi güçlü algoritmaları kullanır.
Unutmayın ki, şifrelenmiş verilerinizin güvenliği büyük ölçüde parolanızın gücüne bağlıdır. Güçlü ve benzersiz bir parola, şifrelenmiş diskinizin güvenliğini önemli ölçüde artırır.
