第24章 RHEL Web コンソールで LUKS パスワードを使用したデータのロック
Web コンソールの ストレージ タブでは、作成、ロック、ロック解除、サイズ変更、または LUKS (Linux Unified Key Setup) バージョン 2 形式を使用した暗号化デバイスを設定できます。
この新しいバージョンの LUKS は、以下を提供します。
- より柔軟なロック解除ポリシー
- より強力な暗号化
- 今後の変更との互換性の高さ
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は Web コンソールのインストール を参照してください。
-
cockpit-storagedパッケージがシステムにインストールされている。
24.1. LUKS ディスクの暗号化
LUKS (Linux Unified Key Setup-on-disk-format)は、暗号化されたデバイスの管理を簡素化するツールセットを提供します。LUKS を使用すると、ブロックデバイスを暗号化し、複数のユーザーキーを有効にしてマスターキーを復号化できます。パーティションの一括暗号化には、このマスターキーを使用します。
Red Hat Enterprise Linux は、LUKS を使用してブロックデバイスの暗号化を実行します。デフォルトではインストール時に、ブロックデバイスを暗号化するオプションが指定されていません。ディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズの入力が求められます。このパスフレーズは、パーティションの複号に用いられるバルク暗号化鍵のロックを解除します。デフォルトのパーティションテーブルを変更する場合は、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。
- 暗号化
LUKS に使用されるデフォルトの暗号は
aes-xts-plain64です。LUKS のデフォルトの鍵サイズは 512 ビットです。Anaconda (XTS モード) を使用した LUKS のデフォルトの鍵サイズは 512 ビットです。利用可能な暗号は以下のとおりです。- 高度暗号化標準 (Advanced Encryption Standard, AES)
- Twofish
- Serpent
- LUKS は以下の操作を実行します。
- LUKS は、ブロックデバイス全体を暗号化するため、脱着可能なストレージメディアやノート PC のディスクドライブといった、モバイルデバイスのコンテンツを保護するのに適しています。
- 暗号化されたブロックデバイスの基本的な内容は任意であり、スワップデバイスの暗号化に役立ちます。また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
- LUKS は、既存のデバイスマッパーのカーネルサブシステムを使用します。
- LUKS はパスフレーズのセキュリティーを強化し、辞書攻撃から保護します。
- LUKS デバイスには、複数の鍵スロットが含まれており、ユーザーはバックアップキーまたはパスフレーズを追加できます。
- 以下のシナリオで LUKS は推奨されません。
- LUKS などのディスク暗号化ソリューションは、システムの停止時にしかデータを保護しません。システムがオンになり、LUKS がディスクを復号すると、そのディスク上のファイルは、それらにアクセスできるすべてのユーザーが使用できます。
- 複数のユーザーが同じデバイスへの個別のアクセスキーを持つ必要があるシナリオ。LUKS1 形式は、8 つの鍵スロットを提供し、LUKS2 は最大 32 個の鍵スロットを提供します。
- ファイルレベルの暗号化を必要とするアプリケーション。