Дм-склеп - Dm-crypt

dm-crypt прозрачный шифрование диска подсистема в Ядро Linux версии 2.6 и выше и в DragonFly BSD. Это часть сопоставитель устройств инфраструктуры и использует криптографические процедуры из ядра Крипто API. В отличие от своего предшественника криптолуп, dm-crypt был разработан для поддержки расширенных режимов работы, таких как XTS, LRW и ESSIV (увидеть теория шифрования диска для получения дополнительной информации), чтобы избежать атаки с водяными знаками.[1] В дополнение к этому, dm-crypt также решает некоторые проблемы надежности cryptoloop.[2]

dm-crypt реализован как целевой объект сопоставления устройств и может быть наложен поверх преобразований других устройств сопоставления. Таким образом, он может шифровать целые диски (включая съемные носители ), перегородки, программный RAID объемы, логические тома, а также файлы. Он выглядит как блочное устройство, которое можно использовать для поддержки файловые системы, своп или как LVM физический объем.

Немного Дистрибутивы Linux поддерживает использование dm-crypt в корневой файловой системе. Эти дистрибутивы используют initrd , чтобы предложить пользователю ввести парольную фразу в консоли или вставить интеллектуальная карточка до обычного процесса загрузки.[3]

Фронтенды

Целевой объект отображения устройства dm-crypt полностью находится в пространстве ядра и занимается только шифрованием блочное устройство - он сам не интерпретирует никаких данных. Он полагается на пространство пользователя внешние интерфейсы для создания и активации зашифрованных томов и управления аутентификацией. В настоящее время доступно как минимум два интерфейса: cryptsetup и cryptmount.

cryptsetup

cryptsetup
Оригинальный автор (ы)Яна Саут, Клеменс Фрувирт, Милан Броз[4]
Стабильный выпуск
2.2.1 / 6 сентября 2019; 14 месяцев назад (2019-09-06)[5]
Написано вC
Операционная системаUnix-подобный
Платформаx86, x86-64, ARMv8, ARMv7, ppc64le, MIPS
Размер7 МБ
Доступно в16 языков[6]
Список языков
Английский, португальский, китайский (упрощенный), чешский, датский, голландский, финский, французский, немецкий, итальянский, японский, польский, русский, испанский, шведский, украинский
ТипПрограммное обеспечение для шифрования дисков
ЛицензияGPLv2[7]
Подбиблиотеки:
LGPLv2.1 +[8]
Интернет сайтgitlab.com/ cryptsetup/ cryptsetup

В cryptsetup интерфейс командной строки по умолчанию не записывает никаких заголовков в зашифрованный том и, следовательно, предоставляет только самое необходимое: настройки шифрования должны предоставляться каждый раз, когда диск монтируется (хотя обычно используется с автоматическими скриптами), и только один ключ можно использовать по объему; то симметричное шифрование ключ напрямую получен из поставляемого кодовая фраза.

Потому что ему не хватает "поваренная соль ", использование cryptsetup в этом режиме менее безопасно, чем в случае с Настройка единого ключа Linux (ЛУКС).[9] Однако простота cryptsetup делает его полезным в сочетании со сторонним программным обеспечением, например, с интеллектуальная карточка аутентификация.

cryptsetup также предоставляет команды для работы с дисковым форматом LUKS. Этот формат предоставляет дополнительные функции, такие как ключевой менеджмент и растяжение ключа (с помощью PBKDF2 ) и запоминает конфигурацию зашифрованного тома при перезагрузке.[3][10]

cryptmount

В cryptmount интерфейс является альтернативой инструменту "cryptsetup", который позволяет любому пользователю монтировать и при необходимости размонтировать файловую систему dm-crypt без необходимости суперпользователь привилегии после настройки устройства суперпользователем.

особенности

Тот факт, что программное обеспечение для шифрования дисков (шифрование томов), такое как dm-crypt, работает только с прозрачным шифрованием абстрактных блочные устройства дает большую гибкость. Это означает, что его можно использовать для шифрования любых дисковых файловые системы при поддержке Операционная система, а также место подкачки; барьеры для записи реализованные файловыми системами, сохраняются.[11][12] Зашифрованные тома можно хранить на разделы диска, логические тома, целые диски, а также файл -поддержанный образы дисков (за счет использования петлевые устройства с помощью утилиты losetup). dm-crypt также можно настроить для шифрования RAID объемы и LVM физические тома.

dm-crypt также можно настроить для предоставления предварительная загрузка аутентификация через initrd, таким образом шифруя все данные на компьютере, кроме загрузчика, ядра и самого образа initrd.[3]

При использовании цепочка блоков шифра режим работы с предсказуемым векторы инициализации как и другие программы шифрования дисков, диск уязвим для атаки с водяными знаками. Это означает, что злоумышленник может обнаружить наличие на диске специально созданных данных. Чтобы решить эту проблему в своих предшественниках, dm-crypt включил положения для более сложных, специфичных для шифрования диска режимов работы.[1] Поддержка для ESSIV (зашифрованный вектор инициализации солевого сектора) был представлен в ядре Linux версии 2.6.10, LRW в 2.6.20 и XTS в 2.6.24.

Linux Crypto API включает поддержку самых популярных блочные шифры и хэш-функции, которые можно использовать с dm-crypt.

Поддержка зашифрованных FS включает тома LUKS, петля-AES и начиная с ядра Linux 3.13, TrueCrypt цель называется "tcw".[13][14][15]

Совместимость

К зашифрованным дискам dm-crypt и LUKS можно получить доступ и использовать их под MS Windows, используя ныне несуществующий FreeOTFE (ранее DoxBox, LibreCrypt) при условии, что используемая файловая система поддерживается Windows (например, ЖИР / FAT32 /NTFS ). Зашифрованный ext2 и ext3 файловые системы поддерживаются с помощью Ext2Fsd или так называемая «Устанавливаемая файловая система Ext2 для Windows»;[16] FreeOTFE также поддерживает их.

Cryptsetup / LUKS и необходимая инфраструктура также были реализованы в операционной системе DragonFly BSD.[17]

Смотрите также

использованная литература

  1. ^ а б Клеменс Фрувирт (18 июля 2005 г.). «Новые методы шифрования жесткого диска» (PDF). Венский технологический университет. Получено 2007-04-20. Цитировать журнал требует | журнал = (Помогите)
  2. ^ Майк Питерс (2004-06-08). «Шифрование разделов с использованием dm-crypt и ядра серии 2.6». Архивировано из оригинал на 2012-07-11. Получено 2012-02-20. Цитировать журнал требует | журнал = (Помогите)
  3. ^ а б c В. Майкл Петулло (18 января 2007 г.). «Шифрование дисков в Fedora: прошлое, настоящее и будущее». Журнал Red Hat. Получено 2007-04-20.
  4. ^ "АВТОРЫ". GitLab. Получено 7 сентября 2019.
  5. ^ «Примечания к выпуску Cryptsetup 2.2.1». GitLab. Получено 7 сентября 2019.
  6. ^ "Текстовый домен cryptsetup". Проект перевода. Получено 7 сентября 2019.
  7. ^ "КОПИРОВАНИЕ". GitLab. Получено 7 сентября 2019.
  8. ^ "COPYING.LGPL". GitLab. Получено 7 сентября 2019.
  9. ^ "FAQ по cryptsetup".
  10. ^ Клеменс Фрувирт (2004-07-15). «TKS1 - анти-криминалистическая, двухуровневая и повторяющаяся схема настройки ключей» (PDF). Проект. Получено 2006-12-12.
  11. ^ Милан Броз (24 апреля 2012 г.). "[dm-crypt] Поддерживает ли dm-crypt гарантии транзакций журналируемой файловой системы?". saout.de. Получено 2014-07-08.
  12. ^ Микулас Паточка (22.06.2009). "ядро / гит / торвальдс / linux.git". Дерево исходных текстов ядра Linux. kernel.org. Получено 2014-07-08.
  13. ^ "dm-crypt: криптографическая цель устройства-сопоставителя устройств ядра Linux - генераторы IV". cryptsetup. 2014-01-11. Получено 2015-04-05.
  14. ^ "dm-crypt: крипто-цель устройства сопоставления устройств ядра Linux". Получено 2015-04-05.
  15. ^ "[dm-devel] [PATCH 2/2] dm-crypt: добавить режим TCW IV для старых контейнеров CBC TCRYPT". redhat.com. Получено 2014-06-17.
  16. ^ «Ext2 IFS для Windows». fs-driver.org. Получено 15 февраля 2015.
  17. ^ Алекс Хорнунг (23.07.2010). "ГОЛОВА: dm, lvm, cryptsetup и initrd на главном сервере".

внешние ссылки