Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

C.2. Verschlüsselung von Blockgeräten mittels dm-crypt/LUKS

Linux Unified Key Setup (LUKS) ist eine Spezifikation für die Verschlüsselung von Blockgeräten. Es richtet ein On-Disk-Format für die Daten ein sowie eine Richtlinie zur Passphrasen- bzw. Schlüsselverwaltung.
LUKS verwendet das Subsystem des Kernel-Geräte-Mappers via dem dm-crypt-Modul. Diese Herangehensweise bietet ein Low-Level Mapping, das Verschlüsselung und Entschlüsselung der Daten auf dem Gerät handhabt. Operationen auf Benutzerebene, wie z.B. das Erzeugen verschlüsselter Geräte und Zugriff darauf, werden mit Hilfe des cryptsetup-Dienstprogramms durchgeführt.

C.2.1. Übersicht zu LUKS

  • Was macht LUKS:
    • LUKS verschlüsselt komplette Blockgeräte
      • LUKS ist deshalb gut geeignet, die Inhalte mobiler Geräte zu schützten, wie z.B.:
        • Entfernbare Speichermedien
        • Laptop-Festplatten
    • Die zu Grunde liegenden Inhalte des verschlüsselten Blockgeräts können beliebig sein.
      • Deshalb ist es auch nützlich für die Verschlüsselung von Swap-Geräten.
      • Dies kann ebenfalls nützlich sein für bestimmte Datenbanken, die speziell formatierte Blockgeräte zur Datenspeicherung verwenden.
    • LUKS nutzt das vorhandene Geräte-Mapper Kernel-Subsystem.
      • Dies ist dasselbe Subsystem, welches auch von LVM genutzt wird, es ist also gründlich getestet.
    • LUKS bietet Passphrasenverstärkung.
      • Dies schützt gegen Wörterbuchangriffe.
    • LUKS-Geräte verfügen über mehrere Schlüssel-Plätze.
      • Dies erlaubt es Benutzern, Ersatzschlüssel bzw. -passphrasen hinzuzufügen.
  • Was LUKS nicht macht:
    • LUKS ist nicht geeignet für Anwendungen, die für viele (mehr als acht) Benutzer jeweils unterschiedliche Zugriffsschlüssel für dasselbe Gerät erfordern.
    • LUKS ist nicht geeignet für Anwendungen, die Verschlüsselung auf Dateiebene erfordern.
Detailliertere Informationen zu LUKS sind auf der Projekt-Website unter http://code.google.com/p/cryptsetup/ verfügbar.