From: "Nikolay A. Fetisov" <naf@naf.net.ru> To: community@lists.altlinux.org Subject: Re: [Comm] Как создать зашифрованный раздел? Date: Thu, 20 Jul 2006 17:00:36 +0400 Message-ID: <20060720170036.1412191c@naf177.naf.net.ru> (raw) In-Reply-To: <5ee48e770607200015r5fc32f46vdcd2c670445889a3@mail.gmail.com> On Thu, 20 Jul 2006 11:15:02 +0400 Дмитрий Ананьев wrote: > ... > Аха. А небольшое how-to там я не нашел? Можете написать такое же как в доке > по cryptsetup? Можно, и нужно. Соответствующий запрос в bugzilla висит, думаю добить это к следующей сборке. > А вообще чем luks лучше стандартного crypsetup ? Кусок из готовящегося README: -------- cryptsetup-luks поддерживает два вида дисков OTFE. Первый вид - это диски старого стандарта dm-crypt. Шифруется весь выделенный раздел диска, ключом шифрования является хеш парольной фразы. В отключенном состоянии раздел диска с точки зрения постороннего лица целиком заполнен мусором, отличительных признаков наличия на нём шифрованного раздела нет. При подключении диска обязательно требуется указывать используемый блочный шифр и его параметры, т.к. никаких данных об этом на диске нет. Данный вид дисков может быть уязвим для криптоанализа, т.к. неудачный выбор парольной фразы может привести к плохому с точки зрения криптостойкости хешу, т.е. ключу шифрования. Подробности см. http://luks.endorphin.org/LUKS-on-disk-format.pdf Второй вид - диски LUKS (Linux Unified Key Setup). В этом случае в начале шифрованного раздела записывается заголовок, содержащий информацию о выбранном шифре, длине ключа и пр. Ключом шифрования данных на диске является случайным образом выбранная последовательность, которая также сохраняется в зашифрованном виде в заголове диска. Пользователь не знает ключ шифрования, и имеет дело только с парольной фразой, которой зашифрован ключ в заголовке диска. Ключ шифрования может храниться в нескольких выделенных слотах в заголовке диска, каждый слот защищается своей парольной фразой. Данный подход: - предотвращает угрозы раскрытия данных от неудачного выбора парольных фраз; - предоставляет возможность иметь для диска несколько парольных фраз, каждая из которых позволяет подключить шифрованный диск; - позволяет лёгкого сменить пароль на диск путём создания нового слота с зашифрованным ключом к диску и удалением старого слота, без необходимости переписывания всего раздела; - позволяет определить ошибки ввода парольной фразы на этапе расшифровывания слота, без необходимости попытки подключения файловой системы; - даёт возможность полностью разрушить шифрованный раздел путём уничтожения слота с ключём шифрования. - позволяет отличить диск LUKS от неформатированного раздела с мусором. ----------- -- С уважением, Николай Фетисов
next prev parent reply other threads:[~2006-07-20 13:00 UTC|newest] Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-07-19 7:46 ` Nikolay A. Fetisov 2006-07-20 5:34 ` Nikolay A. Fetisov 2006-07-20 13:00 ` Nikolay A. Fetisov 2006-07-20 13:00 ` Nikolay A. Fetisov [this message] 2006-07-21 3:13 ` Вадим Илларионов 2006-07-21 3:28 ` Nikolay A. Fetisov 2006-07-21 7:34 ` Alexey I. Froloff
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060720170036.1412191c@naf177.naf.net.ru \ --to=naf@naf.net.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git