dm-crypt/LUKS

[andy]

Cytat:

dm-crypt ***8211; darmowe oprogramowanie Open Source dla systemów Linux, umożliwiające szyfrowanie całych partycji dyskowych "w locie". Szyfruje dane przed samym zapisem do partycji, co uniezależnia go od systemu plików (typu partycji).

Cytat:

Linux Unified Key Setup (LUKS) ***8211; to specyfikacja szyfrowania dysku twardego stworzona przez Clemensa Fruhwirtha i oryginalnie przeznaczona dla Linuksa.
Podczas gdy większość oprogramowania do szyfrowania dysków implementuje różne i niekompatybilne, nieudokumentowane formaty, LUKS wyznacza niezależny od platformy systemowej standard dla użytku w różnorodnych programach i narzędziach. To nie tylko ułatwia kompatybilność i wymienialność pomiędzy różnymi programami, ale również zapewnia, że wszystkie programy używające LUKS implementują zarządzanie hasłami w bezpieczny i udokumentowany sposób.
Ustandaryzowana implementacja dla LUKS działa na Linuksie i jest oparta na rozszerzonej wersji cryptsetup, używającej dm-crypt jako narzędzia do szyfrowania dysku. Pod systemem Microsoft Windows dyski zaszyfrowane przy pomocy LUKS mogą być używane przy pomocy FreeOTFE.

Ktoś się bawił dm-cryptem? Jeżeli tak to jak prezentuje się jego działanie? Zastanawiam się nad przejściem z TC na dm-crypt z LUKS.

[Berion]

Ja się bawiłem przy okazji PS3. Z AES-CBC 192 radzi sobie szybko, ale konkretnych wartości Ci nie podam. W każdym razie nie odczułem tego. Wg. mnie to niewygodne, nie wiem czy można tak szyfrować partycję z systemem bo z tego co wiem to TC w przypadku Pingwina na to nie pozwalał.

[andy]

U mnie jest wsparcie od strony sprzętu w przypadku AES więc prędkością bym się nie martwił. TC ma ok 3.1GB/s w przypadku AES, więc dm-crypt pewnie będzie miał tyle albo i jeszcze więcej.

Cytat:

Wg. mnie to niewygodne

dm-crypt nie ma GUI do tworzenia dysków/wolumenów i to może być duże utrudnienie dla początkujących.

Cytat:

Z AES-CBC 192

Nie używałbym trybu CBC. Bezpieczniejszym rozwiązaniem jest XTS.

Cytat:

nie wiem czy można tak szyfrować partycję z systemem bo z tego co wiem to TC w przypadku Pingwina na to nie pozwalał.

Można . Wszystkie partycje oprócz /boot mogą być zabezpieczone. Można nawet szyfrować /swap jednorazowym hasłem przy boocie, lub normalnie aby można było korzystać z hibernacji.


Pobawiłem się przez ostatnie dwa dni dm-crypt'em i muszę przyznać, że działa całkiem fajnie.
Jeżeli na Ubuntu włożymy wolumin LUKS (pamięć USB), to automagicznie wyświetli się okienko do wpisania hasła - po jego wpisaniu nastąpi próba podmontowania wolumenu. (Ubuntu ma reguły do automatycznego montowania dysków - przyjemne)
W przypadku kontenerów plikowych musimy już jednak klepać w terminalu (wykorzystujemy urządzenie /dev/loop - losetup /dev/loop /scieżka_do_pliku). Stworzenie wolumenu jest szybkie:

Kod:

dd if=/dev/zero of=/scieżka_do_pliku bs=10MB count=10 //Tworzymy 100MB kontener wypełniony zerami, zamiast ser można użyć pseudolosowych danych z /dev/urandom
cryptsetup [dodatkowe opcje jak cipher, hash itp] luksFormat _ścieżka_do_urządzenia_loop_

Montowanie przebiega analogicznie jak w przypadku dysków/partycji.


dm-crypt jest obsługiwane pod Windowsem przez FreeOTFE.


W wolnej chwili może nawet skuszę się na pełne zaszyfrowanie laptopa. Obecnie chyba powolutku będę przesiadał się z TC na dm-crypta z LUKS - bardziej linuksowe rozwiązanie.


Szczegółowe informacje dotyczące dm-crypt'a dostępne na ArchWiki - https://wiki.archlinux.org/index.php...ng_a_LVM_setup


Z kolei tutaj zostało wyjaśnione dlaczego nie powinniśmy używać pełnego szyfrowania na dyskach z obsługą TRIM.

[Berion]

Niewygodne o tyle, że musisz sobie szykować skrypty do montowania i odmontowania urządzeń. Chyba, że wolisz klepać elaboraty.

Po co tworzysz tylomegowy plik?

[andy]

Cytat:

Niewygodne o tyle, że musisz sobie szykować skrypty do montowania i odmontowania urządzeń.

/etc/fstab && /etc/crypttab załatwiają sprawę. U mnie podłączenie zewnętrznego urządzenia z kontenerem LUKS skutkuje pojawieniem się komunikatu o wpisanie hasła - za to lubie Ubuntu, wiele rzeczy realizuje samo z siebie

Cytat:

Po co tworzysz tylomegowy plik?

To tak tylko dla pokazania jak robić.

[andy]

Cytat:

LibreCrypt: Transparent on-the-fly disk encryption for Windows. LUKS compatible. (formerly DoxBox)

https://github.com/t-d-k/LibreCrypt

FreeOTFE nie jest już od dawna rozwijane.