C.2. dm-crypt/LUKS6tit を使用したブロックデバイスの暗号化

LUKS (Linux Unified Key Setup) はブロックデバイス暗号化の仕様です。これはデータ用にデスク上の形式を確立し、さらにはパスフレーズ/キーの管理ポリシーを確立するものです。
LUKS は dm-crypt モジュールを介してカーネルデバイスマッパーサブシステムを使用します。これにより、デバイスデータの暗号化と復号化を処理する低レベルマッピングを提供します。暗号化したデバイスの作成やそのアクセスなどのユーザーレベルの操作は cryptsetup ユーティリティの使用によって実行されます。

C.2.1. LUKS の概要

  • LUKS でできること:
    • LUKS はブロックデバイス全体を暗号化します。
      • そのため、LUKS は以下のようなモバイルデバイスのコンテンツの保護に適しています。
        • リムーバブルストレージデバイス
        • ラップトップディスクドライブ
    • 暗号化したブロックデバイスの背後にあるコンテンツは任意なものです。
      • これは swap デバイスの暗号化に役立つます。
      • または、データストレージ用に特別にフォーマットされたブロックデバイスを使用する特定のデータベースの場合にも役に立ちます。
    • LUKS は既存のデバイスマッパーカーネルサブシステムを使用します。
      • これは LVM で使用されるサブシステムと同じであり、十分なテストがすでに行われています。
    • LUKS はパスフレーズ強化を行います。
      • これにより、辞書攻撃から保護します。
    • LUKS デバイスには複数のキースロットが含まれます。
      • これにより、ユーザーはバックアップのキー/パスフレーズを追加できます。
  • LUKS で できない こと:
    • LUKS は、同じデバイスに対して多くのユーザー (8人以上) が 別々のアクセスを要求するアプリケーションには適していません。
    • LUKS はファイルレベルの暗号化を必要とするアプリケーションには適していません。
LUKS に関する詳細情報はプロジェクト Web サイト http://code.google.com/p/cryptsetup/ でご覧になれます。