LINUX.ORG.RU
ФорумSecurity

Муки выбора - dm-crypt vs loop-aes

 , ,


0

1

Выбираю, с помощью чего зашифровать внешний винт, и всё никак решить не могу. Собственно, шифрование на нем нужно просто как защита бэкапа в случае кражи. Интересует в основном надежность в применении (чтобы багов было мало, надежность шифра во вторую очередь, ибо не от АНБ защищаюсь), возможность расшифровки с почти любого LiveUSB и желательно, чтобы проект был активен. Пришел к выбору между dm-crypt+LUKS и Loop-AES. Какие их плюсы и минусы на сегодняшний день? Что посоветуют специалисты? Гугление приводит резко полярные мнения десятилетней давности.

★★★
Фаервол в Ubuntu
aircrack-ng, wpa2, пакеты
Ответ на: комментарий от crowbar

Это до сих пор так? А то где-то говорят, что и без патча можно. Собсно, из-за этого я и задумался.

lu4nik ★★★
() автор топика
Ответ на: комментарий от Gotf

Можно тогда вкратце + и - включенного LUKS? Насколько опасно в случае LUKS наличие ключа в заголовке?

lu4nik ★★★
() автор топика
Ответ на: комментарий от vasilenko

https://wiki.debian.org/ru/Crypt?highlight=(LUKS)#A.2BBB0EMARHBDAEOwRMBD0ESwQ... :

и самое главное, можем зашифровать раздел без потери данных:

dd if=/dev/sda2 of=/dev/loop0

а так же расшифровать, если решаем что шифрование не наш метод:

dd if=/dev/loop0 of=/dev/sda2

Ну и самое приятное, мы можем делать проверки файловой системы на целостность:

fsck.ext3 /dev/loop0
lu4nik ★★★
() автор топика

нужно просто как защита бэкапа в случае кражи

Даже XOR подойдёт. Урки не всегда имеют достаточно мозга чтобы понять, что винч зашифрован, не говоря уже о попытках расшифровки, алгоритмах, ключах и т.д.

loop-aes

Он вне ядра. Это периодический гемор с накатыванием левых патчей/пересборкой/колдунством с совместимостью с новыми версиями. Сегодня работает, завтра - нет. Оно того не стоит.

надежность в применении

Не припомню, чтобы с LUKS+dm-crypt были проблемы. Но рекомендуется делать бэкап метаданных LUKS, чтобы точно не было проблем никогда.

shahid ★★★★★★★★★★
()
Последнее исправление: shahid (всего исправлений: 2)

Что посоветуют специалисты?

А разве не cryptsetup используется из коробки при установке debian или ubuntu? cryptsetup очень удобен, скорость чтения падает в 2 раза, ну и пусть.

Deleted
()
Ответ на: комментарий от Deleted

Утилиты из cryptsetup как раз предоставляют интерфейс к dm-crypt. Опять же, основное требование не в скорости, а в том, чтобы оно не навернулось.

lu4nik ★★★
() автор топика
Ответ на: комментарий от Deathstalker

Да, меня это как раз и привлекло. Правда, я так и не понял, работает ли он в современных системах.

lu4nik ★★★
() автор топика
Ответ на: комментарий от lu4nik

Можно тогда вкратце + и - включенного LUKS?

Плюсы:

  • можно использовать более одного ключа;
  • определённая кроссплатформенность;
  • ключи можно менять.

Минусы:

  • очевидность наличия зашифрованных данных.

Насколько опасно в случае LUKS наличие ключа в заголовке?

Он хорошо зашифрован.

Gotf ★★★
()
Последнее исправление: Gotf (всего исправлений: 1)

Подумав, пожалуй таки воспользуюсь dm_crypt+LUKS. В стандартных дебиановских репозиториях (sid) уже нет loop-aes, по надежности наверн вроде ок.

lu4nik ★★★
() автор топика

aes-loop был быстрее, когда-то давно. Так что - dm-crypt

vasily_pupkin ★★★★★★★★★
()
Ответ на: комментарий от lu4nik

А ещё dm-crypt+LUKS во всяких гномах/кедах сам подключается и просит пароль.

ktulhu666 ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Фаервол в Ubuntu
Security
aircrack-ng, wpa2, пакеты