From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 20 Jul 2006 17:00:36 +0400 From: "Nikolay A. Fetisov" To: community@lists.altlinux.org Message-ID: <20060720170036.1412191c@naf177.naf.net.ru> In-Reply-To: <5ee48e770607200015r5fc32f46vdcd2c670445889a3@mail.gmail.com> References: <5ee48e770607182238t40ea2f9dk79d47ce48966fc50@mail.gmail.com> <20060719114650.129e0948@naf177.naf.net.ru> <5ee48e770607192217n5233f781j62d51f041305949a@mail.gmail.com> <20060720093417.2dd56498@naf177.naf.net.ru> <5ee48e770607200015r5fc32f46vdcd2c670445889a3@mail.gmail.com> X-Mailer: Sylpheed-Claws 2.2.0cvs66 (GTK+ 2.8.18; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Subject: Re: [Comm] =?utf-8?b?0JrQsNC6INGB0L7Qt9C00LDRgtGMINC30LDRiNC40YTRgNC+?= =?utf-8?b?0LLQsNC90L3Ri9C5INGA0LDQt9C00LXQuz8=?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 20 Jul 2006 13:00:41 -0000 Archived-At: List-Archive: List-Post: On Thu, 20 Jul 2006 11:15:02 +0400 Дмитрий Ананьев wrote: > ... > Аха. А небольшое how-to там я не нашел? Можете написать такое же как в доке > по cryptsetup? Можно, и нужно. Соответствующий запрос в bugzilla висит, думаю добить это к следующей сборке. > А вообще чем luks лучше стандартного crypsetup ? Кусок из готовящегося README: -------- cryptsetup-luks поддерживает два вида дисков OTFE. Первый вид - это диски старого стандарта dm-crypt. Шифруется весь выделенный раздел диска, ключом шифрования является хеш парольной фразы. В отключенном состоянии раздел диска с точки зрения постороннего лица целиком заполнен мусором, отличительных признаков наличия на нём шифрованного раздела нет. При подключении диска обязательно требуется указывать используемый блочный шифр и его параметры, т.к. никаких данных об этом на диске нет. Данный вид дисков может быть уязвим для криптоанализа, т.к. неудачный выбор парольной фразы может привести к плохому с точки зрения криптостойкости хешу, т.е. ключу шифрования. Подробности см. http://luks.endorphin.org/LUKS-on-disk-format.pdf Второй вид - диски LUKS (Linux Unified Key Setup). В этом случае в начале шифрованного раздела записывается заголовок, содержащий информацию о выбранном шифре, длине ключа и пр. Ключом шифрования данных на диске является случайным образом выбранная последовательность, которая также сохраняется в зашифрованном виде в заголове диска. Пользователь не знает ключ шифрования, и имеет дело только с парольной фразой, которой зашифрован ключ в заголовке диска. Ключ шифрования может храниться в нескольких выделенных слотах в заголовке диска, каждый слот защищается своей парольной фразой. Данный подход: - предотвращает угрозы раскрытия данных от неудачного выбора парольных фраз; - предоставляет возможность иметь для диска несколько парольных фраз, каждая из которых позволяет подключить шифрованный диск; - позволяет лёгкого сменить пароль на диск путём создания нового слота с зашифрованным ключом к диску и удалением старого слота, без необходимости переписывания всего раздела; - позволяет определить ошибки ввода парольной фразы на этапе расшифровывания слота, без необходимости попытки подключения файловой системы; - даёт возможность полностью разрушить шифрованный раздел путём уничтожения слота с ключём шифрования. - позволяет отличить диск LUKS от неформатированного раздела с мусором. ----------- -- С уважением, Николай Фетисов