LINUX.ORG.RU

cryptsetup - 1.4.0

 , ,


1

1

В конце октября вышла новая версия cryptsetup — программы, используемой для прозрачного шифрования блочных устройств, с применением API ядра Linux.

Значительные изменения:

  • если устройство не является вращающимся диском, то для стирания ключей алгоритм Гутмана использоваться не будет, а эта область будет однократно перезаписываться случайными данными;
  • загловок LUKS теперь может отделяться: его можно поместить на другой диск и в другой файл, для чего введена новая опция --header.
    Эта опция относится только к устройствам LUKS, и может использоваться с такими командами, как luksFormat, luksOpen, luksSuspend, luksResume и resize.

    Пример: Создадим зашифрованное устройство LUKS на устройстве /dev/sdb с заголовком на /dev/sdc. Будет использоваться всё пространство /dev/sdb, под заголовок ничего не резервируется:

    cryptsetup luksFormat /dev/sdb --header /dev/sdc --align-payload 0
    Активируем это устройство:
    cryptsetup luksOpen /dev/sdb --header /dev/sdc test_disk
    Для заголовка LUKS можно использовать файл (файл должен быть достаточно большим):
    dd if=/dev/zero of=/mnt/luks_header bs=1M count=4
    cryptsetup luksFormat /dev/sdb --header /mnt/luks_header --align-payload 0
    
    Активация происходит точно так же:
    cryptsetup luksOpen /dev/sdb --header /mnt/luks_header test_disk
    
    А все операции с ключами производятся над файлом заголовка, а не над зашифрованными данными:
    cryptsetup luksAddKey /mnt/luks_header

    Эту возможность нужно использовать с осторожностью. Во-первых, нельзя проверить, соответствует ли заголовок устройству. Ошибка может повредить данные. Во-вторых, если ключ хранится в файле, то невозможна работа механизма защиты от т.н. следственного анализа, поскольку между заголовком (суперблоком) LUKS и диском находится прослойка в виде ФС. Описание механизма можно найти здесь: http://clemens.endorphin.org/AFsplitter;

  • опция --enable-discards для включения поддержки запросов discard/TRIM. Начиная с версии ядра 3.1, устройства dm-crypt опционально поддерживают команды discard (TRIM), включение этой опции должно происходить при каждой активации устройства:
    cryptsetup luksOpen --enable-discards /dev/sdb test_disk
    Включение TRIM может быть небезопасным, прочитайте, по крайней мере, этот текст: http://asalor.blogspot.com/2011/08/trim-dm-crypt-problems.html;
  • опция --shared для создания неперекрывающихся зашифрованных сегментов. Опция --shared проверяет, что сегменты не перекрываваются, и позволяет неисключительный доступ к нижележащему устройству.

    Только базовые криптоустройства (не LUKS) могут использоваться в этом режиме. Например, отобразим первые 64M как один диск, следующие 32М — как другой:

    cryptsetup create outer_disk /dev/sdb --offset 0 --size 65536
    cryptsetup create inner_disk /dev/sdb --offset 65536 --size 32768 --shared

  • изменения в API libcrypsetup: удалены устаревшие функции, добавлены новые;
  • теперь команде luksOpen можно указывать конкретный слот, другие ключи проверяться при этом не будут;
  • поддержка параметров таймаута и количества попыток для команды luksSuspend (аналогично команде luksOpen);
  • среди прочих изменений можно выделить поддержку бэкенда Nettle 2.4.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: adriano32 (всего исправлений: 7)
Ответ на: комментарий от anonymous

>swap содержит вполне осмысленные данные, в нём можно найти строки текста, так что прикидываться бревном будет бесполезно. В органах тоже не дураки работают и понимают кое-что.

Против органов даже вынос носителя за пределы юрисдикции этих органов помогает не на 100%. Особенно, если речь идет об органах США или ЕС.

Обычно все таки защищаются от коммерческих конкурентов и партнеров, а также от неофициального интереса органов по заказу все тех же конкурентов и партнеров.

AVL2 ★★★★★
()
Ответ на: комментарий от Goblin

> как будто вы представляете интерес для данных спецслужб.

Если у вас нет паранойи, то это ещё не значит, что за вами не следят. (c) какой-то паранойик

anonymous
()
Ответ на: комментарий от anonymous

>Можно подумать cryptsetup не имеет чёрных ходов для АНБ/ФБР/ЦРУ.

Если выбирать из двух реализаций, то логично больше доверять той, которую проверял хоть кто-то.

кроме того, у производителя железа есть большой соблазн просто ставить/снимать какой нибудь битик. Все равно прямого доступа к данным у пользователя нет.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Вроде бы FBI не осилили сломать трукрипт раздел одого кулхацкера.

invy ★★★★★
()
Ответ на: комментарий от GotF

следаки

> следственный анализ"
тащемта, по-русски это называется просто «дознание».

mumpster ★★★★★
()
Ответ на: passwd от mumpster

>ага, особенно passwd

Какой смысл в passwd при физическом доступе к диску?

ttnl ★★★★★
()
Ответ на: комментарий от record

торренты

как бы по ссылкам не то. ст. 146 -сто лет в обед ужо (в 1997 она точно была, так что это не новелла законодательства).
а по второй - вообще унылый спор законно ли К могут вломитсья без ордера или нет.
зато на мой вопрос там чёткий ответ - торрент сам по себе - законен,
что, в общем-то, логично и разумно.
иначе всех мужиков надо судить за изнасилование.;-)

mumpster ★★★★★
()
Ответ на: комментарий от record

приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере.

Не сидируй фильмы Михалкова перацкий контент, и состава не будет :)

Xenesz ★★★★
()
Ответ на: торренты от mumpster

>торрент сам по себе

Я говорил не о столько протоколе, сколько о сидировании торрента...

Кроме законов РФ, есть еще международные договоры, которые требуют правоприменительной практики к уже принятым законам и ужесточения самого закона. В некоторых странах ВТО уже сама опубликованная торрент-ссылка на копирайтный материал без разрешения - *УЖЕ* преступление.

Мы в шаге от этого, в одном шаге от того, что файлопомойка будет считаться преступлением, как это есть во Франции, в США и др. странах.

иначе всех мужиков надо судить за изнасилование.;-)

Если вы не заметили, в РФ стало полицаев, как собак нерезаных, а когда полицаю делать нечего, он ищет всё, что может найти, дойдут руки и до вашей файлопомойки.

record ★★★★★
()

От cold boot attack оно всё равно не спасает.

s_brin
()
Ответ на: комментарий от record

торренты

троль, ты где живёшь?
я вот замечаю что у нас 20% полицаев сократили
про сид тебе уже ответили.
про ссылки - даже в САСШ со ссылками на торрентами - не так всё просто и однозначно.

mumpster ★★★★★
()
Ответ на: торренты от mumpster

>про ссылки - даже в САСШ со ссылками на торрентами - не так всё просто и однозначно.

про ссылки

Ты в курсе что стало с основателями Thepiratebay? Равно как и другими админами торрент сайтов и в Европе и США?

Не про ссылки, про скачивание:

(Канадца заочно приговорили за скачиваение-раздачу (там, где скачивание, там и раздача))

[Перезагрузка]Американский окружной суд заочно приговорил гражданина Канады за торрент.

(обрати внимание на размер штрафа)

http://www.en.wikipedia.org/wiki/Capitol_v._Thomas

(обрати внимание на размер штрафа)

http://www.en.wikipedia.org/wiki/Sony_BMG_v._Tenenbaum

(обрати внимание на закрытые сайты)

[wikileaks][шабаш]США борятся с украинскими треккерам

(штраф или срок за файлопомойку в Европе)

Embrace the future: Срок за файлы

record ★★★★★
()
Ответ на: комментарий от record

ссылки-в-лужу

бугага! ссылки-в-лужу - по единичным случаям (кстати ещё и с неизвестным конечным исходом) делаются глобальные выводы; тогда отсюда вывод - у нас судят за перацкую венду! см. дело ПОносова. ещё раз бугага

mumpster ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.