[Comm] Как создать зашифрованный раздел?

Nikolay A. Fetisov =?iso-8859-1?q?naf_=CE=C1_naf=2Enet=2Eru?=
Чт Июл 20 17:00:36 MSD 2006


On Thu, 20 Jul 2006 11:15:02 +0400
Дмитрий Ананьев wrote:
> ...
> Аха. А небольшое how-to там я не нашел? Можете написать такое же как в доке
> по cryptsetup?

Можно, и нужно. Соответствующий запрос в bugzilla висит, думаю добить
это к следующей сборке.

> А вообще чем luks лучше стандартного crypsetup ?

Кусок из готовящегося README: 
--------
cryptsetup-luks поддерживает два вида дисков OTFE. Первый вид - это
диски старого стандарта dm-crypt. Шифруется весь выделенный раздел
диска, ключом шифрования является хеш парольной фразы. В отключенном
состоянии раздел диска с точки зрения постороннего лица целиком
заполнен мусором, отличительных признаков наличия на нём шифрованного
раздела нет. При подключении диска обязательно требуется указывать
используемый блочный шифр и его параметры, т.к. никаких данных об этом
на диске нет. Данный вид дисков может быть уязвим для криптоанализа,
т.к. неудачный выбор парольной фразы может привести к плохому с точки
зрения криптостойкости хешу, т.е. ключу шифрования. Подробности см.
http://luks.endorphin.org/LUKS-on-disk-format.pdf

Второй вид - диски LUKS (Linux Unified Key Setup). В этом случае в
начале шифрованного раздела записывается заголовок, содержащий
информацию о выбранном шифре, длине ключа и пр. Ключом шифрования
данных на диске является случайным образом выбранная
последовательность, которая также сохраняется в зашифрованном виде в
заголове диска. Пользователь не знает ключ шифрования, и имеет дело
только с парольной фразой, которой зашифрован ключ в заголовке диска.
Ключ шифрования может храниться в нескольких выделенных слотах в
заголовке диска, каждый слот защищается своей парольной фразой. Данный
подход:
- предотвращает угрозы раскрытия данных от неудачного выбора парольных
  фраз;
- предоставляет возможность иметь для диска несколько парольных фраз,
  каждая из которых позволяет подключить шифрованный диск;
- позволяет лёгкого сменить пароль на диск путём создания нового слота
  с зашифрованным ключом к диску и удалением старого слота, без
  необходимости переписывания всего раздела;
- позволяет определить ошибки ввода парольной фразы на этапе
  расшифровывания слота, без необходимости попытки подключения файловой
  системы;
- даёт возможность полностью разрушить шифрованный раздел путём
  уничтожения слота с ключём шифрования.
- позволяет отличить диск LUKS от неформатированного раздела с мусором.
-----------
-- 
С уважением,	
Николай Фетисов



Подробная информация о списке рассылки community