C.2. Шифрование блочных устройств с помощью dm-crypt/LUKS
C.2. Шифрование блочных устройств с помощью dm-crypt/LUKS
LUKS (Linux Unified Key Setup) — спецификация шифрования блочных устройств, определяющая формат данных на диске и политику управления парольными фразами и ключами.
Модуль
dm-crypt позволяет LUKS использовать подсистему соответствий устройств ядра, что обеспечивает создание низкоуровневых соответствий, отвечающих за шифрование и расшифрование данных устройства. Действия пользователей, такие как создание зашифрованных устройств и обращение к ним, выполняются с помощью утилиты cryptsetup.
C.2.1. Обзор LUKS
- Функции LUKS:
- LUKS осуществляет шифрование блочных устройств
- Поэтому LUKS подходит для защиты содержимого переносных устройств:
- Съемных накопителей
- Дисковых устройств в ноутбуках
- Содержимое зашифрованного блочного устройства может быть любым.
- Это делает возможным шифрование устройств
swap. - Этот факт также поможет при работе с некоторыми базами данных, использующими специально отформатированные блочные устройства данных.
- LUKS использует существующую подсистему соответствий устройств ядра.
- Та же подсистема используется в LVM, поэтому она уже прошла хорошую проверку.
- LUKS обеспечивает защиту парольных фраз.
- Это обеспечивает защиту от попыток взлома с использованием слов из словарей.
- Устройства LUKS содержат несколько слотов ключей.
- Это позволяет пользователям добавлять запасные ключи и парольные фразы.
- Чего LUKS НЕ делает:
- LUKS не является оптимальным решением для приложений, требующих наличия разных ключей доступа к одному устройству для большого числа пользователей (больше восьми).
- LUKS не подходит для приложений, для которых требуется обеспечить шифрование на уровне файлов.
Дальнейшую информацию о LUKS можно по адресу http://code.google.com/p/cryptsetup/.