C.2. Cifrado de dispositivos de bloque mediante dm-crypt/LUKS

LUKS (Linux Unified Key Setup) es una especificación para cifrado de dispositivo de bloque. Establece un formato sobre el disco para los datos, al mismo tiempo que una frase de acceso/llave de política de gerenciamiento.
LUKS utiliza el subsistema mapeador del dispositivo del kernel a través del módulo dm-crypt. Este arreglo provee un mapa de bajo nivel que organiza el cifrado y descifra los datos del dispositivo. Las operaciones de nivel-usuario, tales como crear y acceder a los dispositivos cifrados, se realizan a través de la herramienta cryptsetup.

C.2.1. Repaso de LUKS

  • Lo que hace LUKS:
    • LUKS cifra dispositivos de bloque en su totalidad.
      • LUKS es, por lo tanto, ideal para proteger los contenidos de dispositivos móviles como:
        • Dispositivo de almacenamiento extraíble
        • Discos de portátiles
    • Los contenidos subyacentes del dispositivo de bloque son arbitrarios.
      • Esto lo hace útil para cifrar dispositivos swap.
      • Esto también puede servir para ciertas bases de datos que utilicen dispositivos de bloque especialmente formateados para almacenamiento de datos.
    • LUKS utiliza el subsistema de kernel para asignación de dispositivos.
      • Este es el mismo subsistema utilizado por LVM, de modo que ya ha sido debidamente probado.
    • LUKS provee fortalecimiento de la frase de acceso.
      • Esto es una protección contra ataques de tipo diccionario.
    • Los dispositivos LUKS contienen múltiples ranuras para llave.
      • Esto permite a los usuarios agregar llaves/frases de acceso de respaldo.
  • Lo que no hace LUKS:
    • LUKS no se recomienda para aplicaciones que requieran que demasiados usuarios (más de ocho) posean llaves de acceso diferentes al mismo dispositivo.
    • LUKS no se recomienda para aplicaciones que necesiten cifrado de tipo file-level.
Encontrará mayor información sobre LUKS en el sitio Web del proyecto, http://code.google.com/p/cryptsetup/.