LINUX.ORG.RU

Какой из двух вариантов шифрования корня лучше?


0

0

Доброго времени суток

Подскажите, какой из двух вариантов шифрования лучше:

1) cipher=aes-cbc-essiv:sha256
   hash=sha256
   size=256
   не LUKS

2) cipher=aes-cbc-essiv:sha256
   size=256
   LUKS

Первый приводится в документации к cryptsetup, второй - вариант по-умолчанию при установе Debian на шифрованный раздел

Пока склоняюсь к первому варианту
★★★★★

Re: Какой из двух вариантов шифрования корня лучше?

А почему? :)

Из-за отсутствия дополнительного хеширования ( пароля, кажется? ) ? Насколько я знаю, LUKS отличается только тем, что хранит в самом шифруемом файле (диске) информацию о параметрах шифрования (те же cipher=aes-cbc-essiv:sha256, size=254)

router ★★★★★ ()

Re: Какой из двух вариантов шифрования корня лучше?

Там есть хоть какая то реализация управления ключами. На счет всего остального.. У товарища который предложил эту схему есть в открытом доступе его работа. Можете ознакомится если интересно. Я прочитал по диагонали TKS1 - кроме собственно иерархии ключей очевидно полезнорабочих моментов не увидел. Но это надо будет проанализировать когда время бу.

vasily_pupkin ★★★★★ ()
13 сентября 2008 г.

Re: Какой из двух вариантов шифрования корня лучше?

LUKS -- это не другой способ шифрования, а дополнительный header в зашифрованом разделе. Этот header содержит в частности все параметры шифрования (cipher=aes-cbc-essiv:sha256 и т.д.) что с одной стороны удобно так как не надо их запоминать, а с другой стороны сразу видно наличие этого самого LUKS. Мне это один раз очень сильно помогло когда я по глупости захотел установить NexentaOS на свободный раздел, и эта гадина затерла MBR с таблицей разделов. Пришлось просканировать весь диск на наличие стоки "LUKS", только так и нашёл.

Ещё одна приятная плюшка в LUKS -- это то что "основной" ключ для расшифровки всего раздела тоже хранится в header'е, в зашифрованном виде, и доступ к разделу двух-ступенчатый: с помощью "вторичного" ключа (который вы вводите с клавиатуры) сначала расшифровывается основной ключ, а потом с помощью него осуществляется доступ к данным. Плюс такого подхода очевиден: можно сменить вторичный ключ не перешифровывая весь раздел. Можно задать и несколько разных вторичных ключей и дать их разным людям.

Итого: плюсов в LUKS много, минус один -- само наличие LUKS невозможно скрыть (но как я уже сказал выше, этот минус спас мою шкуру. Если бы шифровал без LUKS то найти начало шифрованного раздела шансов не было).

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.