* [sisyphus] cryptsetup-luks-1.0.1-alt1
@ 2005-12-30 11:56 Yakov Hrebtov
2006-01-05 13:30 ` Olvin
2006-01-06 6:14 ` Nikolay A. Fetisov
0 siblings, 2 replies; 8+ messages in thread
From: Yakov Hrebtov @ 2005-12-30 11:56 UTC (permalink / raw)
To: sisyphus
Во время обновления из сизифа пакет cryptsetup был заменен на
cryptsetup-luks-1.0.1-alt1.
В моих скриптах используется инициализация шифрованного раздела примерно
таким образом:
cryptsetup --cipher=aes-cbc-essiv:sha256 --key-size=256 --hash=ripemd160
create cfs1 /dev/sdb1 </dev/fd0
т.е. парольная фраза читается с дискеты сделанной примерно следующим
образом:
echo 'mylongpassphrase' >/dev/fd0
Вобщем, после замещения старого cryptsetup, криптсетапом-luks перестал
работать вариант с перенаправлением ввода пароля из файла. Т.е. если
шифрованный раздел инициализировать со вводом пароля вручную:
cryptsetup --cipher=aes-cbc-essiv:sha256 --key-size=256 --hash=ripemd160
create cfs1 /dev/sdb1
и затем ручной ввод mylongpassphrase, то всё проходит правильно и
соответственно
mount /dev/mapper/cfs1 /mnt/cfs
выполняется без ошибок.
если же инициализируем с чтением пароля из файла (как я писал выше), то
после выполнения cryptsetup, команда:
mount /dev/mapper/cfs1 /mnt/cfs
ругается:
mount: you must specify the filesystem type
Т.е. считывает она что-то не то из файла :-(
Я так понимаю, это какая-то ошибка, потому как декларируется опратная
совместимость нового cryptsetup. И я сейчас не смог найти способа читать
парольную фразу из файла. Именно парольную фразу а не сам ключ, так
что опция --key-file не подходит, потому как она читает из файла сам
ключ (указанное количество битов), а не текстовую строку.
Подскажите, как решить проблему, если это возможно.
А если всё действительно так, как я написал, то видимо надо писать в
апстрим?
Спасибо.
P.S. Ядро 2.6.12-std26-up-alt4
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2005-12-30 11:56 [sisyphus] cryptsetup-luks-1.0.1-alt1 Yakov Hrebtov
@ 2006-01-05 13:30 ` Olvin
2006-01-06 6:04 ` Nikolay A. Fetisov
2006-01-06 6:05 ` Yakov Hrebtov
2006-01-06 6:14 ` Nikolay A. Fetisov
1 sibling, 2 replies; 8+ messages in thread
From: Olvin @ 2006-01-05 13:30 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Yakov Hrebtov wrote:
> Во время обновления из сизифа пакет cryptsetup был заменен на
> cryptsetup-luks-1.0.1-alt1.
> В моих скриптах используется инициализация шифрованного раздела примерно
> таким образом:
> cryptsetup --cipher=aes-cbc-essiv:sha256 --key-size=256 --hash=ripemd160
> create cfs1 /dev/sdb1 </dev/fd0
> т.е. парольная фраза читается с дискеты сделанной примерно следующим
> образом:
> echo 'mylongpassphrase' >/dev/fd0
Т.е. в качестве пароля выступает всё содержимое дискеты?! :)
Может, лучше создать файловую систему на дискете и на ней создать файл
ключа?
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2006-01-05 13:30 ` Olvin
@ 2006-01-06 6:04 ` Nikolay A. Fetisov
2006-01-06 6:05 ` Yakov Hrebtov
1 sibling, 0 replies; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-01-06 6:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Thursday 05 January 2006 16:30, Olvin wrote:
> Т.е. в качестве пароля выступает всё содержимое дискеты?! :)
> Может, лучше создать файловую систему на дискете и на ней
> создать файл ключа?
Не всё содержимое, а только записанная туда ограниченная нулём
строка, т.е. чтение производится до первого нулевого байта.
Чтение из обычного файла работает так же.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2006-01-05 13:30 ` Olvin
2006-01-06 6:04 ` Nikolay A. Fetisov
@ 2006-01-06 6:05 ` Yakov Hrebtov
2006-01-06 6:26 ` Nikolay A. Fetisov
1 sibling, 1 reply; 8+ messages in thread
From: Yakov Hrebtov @ 2006-01-06 6:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Olvin пишет:
> Т.е. в качестве пароля выступает всё содержимое дискеты?! :)
> Может, лучше создать файловую систему на дискете и на ней создать файл
> ключа?
Нет, не всё содержимое, а только первая строка (до символа \n)
Цитата из man cryptsetup:
NOTES ON PASSWORD PROCESSING FOR REGULAR MAPPINGS
From a file descriptor or a terminal: Password processing is
new-line
sensitive, meaning the reading will stop after encountering \n.
It will
processed the read material with the default hash or the hash
given by
--hash. After hashing it will be cropped to the key size
given by -s
(or default 256bit).
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2006-01-06 6:05 ` Yakov Hrebtov
@ 2006-01-06 6:26 ` Nikolay A. Fetisov
2006-01-06 6:47 ` Yakov Hrebtov
0 siblings, 1 reply; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-01-06 6:26 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Friday 06 January 2006 09:05, Yakov Hrebtov wrote:
> ....
> не всё содержимое, а только первая строка (до символа
> \n)
> ...
При чтении из файла - до нулевого байта или конца файла. Из
потока ввода - до нулевого байта или новой строки.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2006-01-06 6:26 ` Nikolay A. Fetisov
@ 2006-01-06 6:47 ` Yakov Hrebtov
2006-01-06 6:49 ` Yakov Hrebtov
0 siblings, 1 reply; 8+ messages in thread
From: Yakov Hrebtov @ 2006-01-06 6:47 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Nikolay A. Fetisov пишет:
> При чтении из файла - до нулевого байта или конца файла. Из
> потока ввода - до нулевого байта или новой строки.
Прочитай внимательно цитату из мана, которую я привел, либо сам ман.
Там написано, как должен везти себя cryptsetup при чтении из потока.
(From a file descriptor or a terminal: Password processing is new-line
sensitive, meaning the reading will stop after encountering \n.)
И в старом cryptsetup (который не luks) всё работало именно так как надо.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2006-01-06 6:47 ` Yakov Hrebtov
@ 2006-01-06 6:49 ` Yakov Hrebtov
0 siblings, 0 replies; 8+ messages in thread
From: Yakov Hrebtov @ 2006-01-06 6:49 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Yakov Hrebtov пишет:
>> При чтении из файла - до нулевого байта или конца файла. Из потока
>> ввода - до нулевого байта или новой строки.
>
> Прочитай внимательно цитату из мана, которую я привел, либо сам ман.
> Там написано, как должен везти себя cryptsetup при чтении из потока.
> (From a file descriptor or a terminal: Password processing is new-line
> sensitive, meaning the reading will stop after encountering \n.)
...Ну вобщем-то, это я плохо прочитал твой ответ. Всё так оно и есть. Сорри.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [sisyphus] cryptsetup-luks-1.0.1-alt1
2005-12-30 11:56 [sisyphus] cryptsetup-luks-1.0.1-alt1 Yakov Hrebtov
2006-01-05 13:30 ` Olvin
@ 2006-01-06 6:14 ` Nikolay A. Fetisov
1 sibling, 0 replies; 8+ messages in thread
From: Nikolay A. Fetisov @ 2006-01-06 6:14 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Friday 30 December 2005 14:56, Yakov Hrebtov wrote:
> Во время обновления из сизифа пакет cryptsetup был заменен на
> cryptsetup-luks-1.0.1-alt1.
> ....
> Я так понимаю, это какая-то ошибка, потому как декларируется
> опратная совместимость нового cryptsetup.
В целом, такая совместимость действительно есть. В часть,
связанную с чтением ключа, была добавлена проверка на конечную
длину файла, т.е. в cryptsetup-luks считать пароль
непосредственно из, например, /dev/urandom нельзя. В остальном
код там совпадает.
> ...
> парольная фраза читается с дискеты сделанной примерно
> следующим образом:
> echo 'mylongpassphrase' >/dev/fd0
И, как это не странно, работает :-) Т.е. парольная фраза
'mylongpassphrase' принимается как из /dev/fd0, так и при вводе
с консоли. Вот парольная фраза несколько большей длины, порядка
120 символов, уже не работает.
Есть некоторое подозрение, что дело здесь в использовании
cbs-essiv. Сейчас точнее сказать не могу, сборочной среды под
рукой нет. Попробую посмотреть подробнее к концу праздников.
> ...
> Подскажите, как решить проблему, если это возможно.
Попробуйте вернуть старый cryptsetup, он ещё в есть Sisyphus.
Посмотрите в сторону LUKS, там вопросы с получением ключа из
парольной фразы решаются средствами самого cryptsetup.
> А если всё действительно так, как я написал, то видимо надо
> писать в апстрим?
Там периодически поднимаются вопросы по чтению парольных
фраз из файлов, но сходу ничего похожего на этот случай я пока
не нашёл.
> P.S. Ядро 2.6.12-std26-up-alt4
А ядро, кстати, не обновлялось вместе с cryptsetup?
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2006-01-06 6:49 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-12-30 11:56 [sisyphus] cryptsetup-luks-1.0.1-alt1 Yakov Hrebtov
2006-01-05 13:30 ` Olvin
2006-01-06 6:04 ` Nikolay A. Fetisov
2006-01-06 6:05 ` Yakov Hrebtov
2006-01-06 6:26 ` Nikolay A. Fetisov
2006-01-06 6:47 ` Yakov Hrebtov
2006-01-06 6:49 ` Yakov Hrebtov
2006-01-06 6:14 ` Nikolay A. Fetisov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git