dm-crypt - dm-crypt
dm-crypt é um subsistema de criptografia de disco transparente nas versões 2.6 e posteriores do kernel Linux e no DragonFly BSD . Ele faz parte da infraestrutura do mapeador de dispositivos (dm) e usa rotinas criptográficas da Crypto API do kernel . Ao contrário de seu antecessor cryptoloop , dm-crypt foi projetado para suportar modos de operação avançados, como XTS , LRW e ESSIV (consulte a teoria de criptografia de disco para mais informações), a fim de evitar ataques de marcas d'água . Além disso, o dm-crypt trata de alguns problemas de confiabilidade do cryptoloop.
dm-crypt é implementado como um destino do mapeador de dispositivo e pode ser empilhado sobre outras transformações do mapeador de dispositivo. Ele pode, portanto, criptografar discos inteiros (incluindo mídia removível ), partições , volumes RAID de software , volumes lógicos , bem como arquivos . Ele aparece como um dispositivo de bloco, que pode ser usado para fazer backup de sistemas de arquivos , swap ou como um volume físico LVM .
Algumas distribuições do Linux suportam o uso de dm-crypt no sistema de arquivos raiz. Essas distribuições usam initrd para solicitar que o usuário insira uma frase secreta no console ou insira um cartão inteligente antes do processo de inicialização normal.
Termina em frente
O destino do mapeador de dispositivo dm-crypt reside inteiramente no espaço do kernel e se preocupa apenas com a criptografia do dispositivo de bloco - ele não interpreta nenhum dado. Ele depende de front-ends de espaço do usuário para criar e ativar volumes criptografados e gerenciar a autenticação. Pelo menos dois frontends estão disponíveis: e .
cryptsetup
cryptmount
criptografar
Autor (es) original (is) | Jana Saout, Clemens Fruhwirth, Milan Broz |
---|---|
Versão estável | 2.2.1 / 6 de setembro de 2019
|
Escrito em | C |
Sistema operacional | Tipo Unix |
Plataforma | x86 , x86-64 , ARMv8 , ARMv7 , ppc64le , MIPS |
Tamanho | 7 MB |
Disponível em | 16 idiomas |
Lista de línguas
Inglês, português, chinês (simplificado), tcheco, dinamarquês, holandês, finlandês, francês, alemão, italiano, japonês, polonês, russo, espanhol, sueco, ucraniano
| |
Modelo | Software de criptografia de disco |
Licença |
Sub-bibliotecas GPLv2 : LGPLv2.1 + |
Local na rede Internet | gitlab |
A cryptsetup
interface de linha de comando, por padrão, não grava nenhum cabeçalho no volume criptografado e, portanto, fornece apenas o essencial: as configurações de criptografia devem ser fornecidas toda vez que o disco é montado (embora geralmente empregado com scripts automatizados), e apenas uma chave pode ser usada por volume; a chave de criptografia simétrica é derivada diretamente da senha fornecida .
Por não ter um " sal ", o uso do cryptsetup é menos seguro nesse modo do que o Linux Unified Key Setup (LUKS). No entanto, a simplicidade do cryptsetup o torna útil quando combinado com software de terceiros, por exemplo, com autenticação de cartão inteligente .
cryptsetup
também fornece comandos para lidar com o formato do disco LUKS. Este formato fornece recursos adicionais, como gerenciamento e expansão de chaves (usando PBKDF2 ), e lembra a configuração do volume criptografado nas reinicializações.
cryptmount
A cryptmount
interface é uma alternativa à ferramenta "cryptsetup" que permite a qualquer usuário montar e desmontar um sistema de arquivos dm-crypt quando necessário, sem a necessidade de privilégios de superusuário após o dispositivo ter sido configurado por um superusuário.
Recursos
O fato de o software de criptografia de disco (criptografia de volume) como o dm-crypt lidar apenas com a criptografia transparente de dispositivos de bloco abstrato oferece bastante flexibilidade. Isso significa que ele pode ser usado para criptografar qualquer sistema de arquivos em disco compatível com o sistema operacional , bem como espaço de troca ; as barreiras de gravação implementadas por sistemas de arquivos são preservadas. Os volumes criptografados podem ser armazenados em partições de disco , volumes lógicos , discos inteiros, bem como imagens de disco com backup de arquivo (por meio do uso de dispositivos de loop com o utilitário losetup). dm-crypt também pode ser configurado para criptografar volumes RAID e volumes físicos LVM .
O dm-crypt também pode ser configurado para fornecer autenticação pré-inicialização por meio de um initrd , criptografando todos os dados em um computador - exceto o carregador de inicialização, o kernel e a própria imagem initrd.
Ao usar o modo de operação de encadeamento de bloco de criptografia com vetores de inicialização previsíveis como outro software de criptografia de disco, o disco fica vulnerável a ataques de marca d'água . Isso significa que um invasor pode detectar a presença de dados especialmente criados no disco. Para resolver esse problema em seus predecessores, dm-crypt incluiu provisões para modos de operação específicos de criptografia de disco mais elaborados. O suporte para ESSIV (vetor de inicialização de setor de sal criptografado) foi introduzido no kernel Linux versão 2.6.10, LRW em 2.6.20 e XTS em 2.6.24.
A API Linux Crypto inclui suporte para as cifras de bloco e funções hash mais populares , que podem ser usadas com dm-crypt.
O suporte a FS criptografado inclui volumes LUKS, loop-AES e, desde o kernel Linux 3.13, o destino TrueCrypt denominado "tcw".
Compatibilidade
Os discos criptografados com dm-crypt e LUKS podem ser acessados e usados no MS Windows usando o agora extinto FreeOTFE (anteriormente DoxBox, LibreCrypt), desde que o sistema de arquivos usado seja compatível com o Windows (por exemplo, FAT / FAT32 / NTFS ). Os sistemas de arquivos ext2 e ext3 criptografados são suportados usando Ext2Fsd ou o chamado "Sistema de Arquivos Instalável Ext2 para Windows"; FreeOTFE também os suporta.
Cryptsetup / LUKS e a infraestrutura necessária também foram implementados no sistema operacional DragonFly BSD.
Veja também
Referências
links externos
- Sites oficiais dm-crypt , cryptsetup-luks e cryptmount
- Tudo sobre dm-crypt e LUKS em uma página (em archive.org) - uma página cobrindo dm-crypt / LUKS, começando com a teoria e terminando com muitos exemplos práticos sobre seu uso.