LINUX.ORG.RU

cryptsetup и detached header

 , , ,


0

1

Вопрос так, чтоб удостовериться, так как прямого указания в махан не нашёл.

Используется ли отделённый хедер при работе с _уже подключённым_ устройством?

Я так понимаю (по тестам так же), что хедер используется при открытии только один раз, для получения мастер-ключа, который потом, пока устройство смонтировано, хранится в оперативе.

Всякие команды, требующие обращения к хедеру (luksAddKey/luksSuspend/luksResume) выводим за скобки, это и так ясно и указано в документации.

Иными словами, после монтирования устройства, хедер можно съесть?

★☆

Иными словами, после монтирования устройства, хедер можно съесть?

Да. Приятного аппетита.

Gotf ★★★
()
Ответ на: комментарий от ephecaff

Ты уверен, что тебе нужен LUKS? PLAIN-dmcrypt всем лучше, кроме того, что он не LUKS.

LUKS достаточно полезная обёртка над dm-crypt.

Согласен с арчевики:
dm-crypt does not allow multiple pass-phrases, nor does it allow changes to the pass-phase or key-file after initial set-up.

LUKS uses pass-phrase salting and hash iteration, and as such can be more secure than plain dm-crypt. It is essential that a pass-phrase or key-file with very high entropy is used with dm-crypt.

Так что при отделении хедера исчезают и недостатки.

Umberto ★☆
() автор топика
Ответ на: комментарий от Umberto

Если бы ты копнул глубже, то читал бы...

LUKS ... CAN be more secure than plain dm-crypt.

как

PLAIN-dmcrypt МОЖЕТ быть менее безопасным, чем LUKS. Если руки растут из задницы, и совсем не понимаешь, что такое криптография.

А в умелых руках у LUKS никаких существенных преимуществ нет, а вот недостатков - целый вагон.

ephecaff
()
Ответ на: комментарий от Umberto

Enumerate please

Давно тыкал dmcrypt, но вот, что я запомнил:

1. Факт наличия криптоконтейнера. В некоторых странах ты обязан расшифровать контейнер по просьбе компетентных органов, прецедент был(чувак отказался сотрудничать и сел).

2. Ключ шифрования хранится в контейнере в заведомо известном месте (хоть и подсоленный и обработанный N раз ключевым хэшем).

3. Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация.

ephecaff
()
Ответ на: комментарий от ephecaff

В некоторых странах

Именно в некоторых.

Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация.

Если кто-то использует стойкое шифрование, но не использует бэкапы, то он определённо этого заслуживает.

Ключ шифрования хранится в контейнере в заведомо известном месте (хоть и подсоленный и обработанный N раз ключевым хэшем).

Иии…?

Gotf ★★★
()
Ответ на: комментарий от ephecaff

1. Факт наличия криптоконтейнера.

Факт наличия высокоэнтропийного файла в тех же странах может быть трактован как контейнер. Будь у него хедер или нет.

2. Ключ шифрования хранится в контейнере в заведомо известном месте

Если ты упустил название топика: detached header

3. Если 1(один!) бэдблок удачно попадает на заголовок контейнера - то прощай ВСЯ информация

Ещё раз напомнить название топика?

Umberto ★☆
() автор топика
Ответ на: комментарий от ephecaff

1. Факт наличия криптоконтейнера.

Где-то читал, что один ученый вез на жестком диске сырые записи с радиотелескопа в виде бинарного файла 70+ ГБ, а на границе потребовали пароль для расшифровки «криптоконтейнера».

lu4nik ★★★
()
Ответ на: комментарий от Gotf

Именно в некоторых.

А в других тебя угостят шампанским или паяльником, а потом покажут пальцем и скажут: «Педобир!». И поверь, к этому моменту Майорик на твой комп уже накатит семёрочку и зальёт 146 гигов вещдоков.

Иии…?

Выхлоп ГСЧ в любом случае надёжнее, чем весь этот огород.

ephecaff
()
Ответ на: комментарий от Umberto

Если ты упустил название топика: detached header

Ха! Я тыкал dmcrypt до того, как это стало мейнстримом запилили фичу «detached header». Я подразумевал, что ты собираешься затирать заголовок вручную dd-шкой! И так - каждый раз =)

ephecaff
()
Ответ на: комментарий от ephecaff

detached и attached header можно использовать для разных областей одного и того же раздела

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.