C.2. dm-crypt/LUKS을 사용해 블럭 장치 암호화하기

Linux 통합 키 설정(Linux Unified Key Setup,LUKS)은 블럭 장치 암호화를 위한 요구사항입니다. 이는 데이터의 디스크상 형태와 암호구/키 관리 정책에 대해 정의합니다.
LUKS는 커널 장치 맵퍼 서브시스템을 dm-crypt 모듈을 통해 사용합니다. 이런 설정은 장치 데이터의 암호화와 복호화를 수행하는 저수준의 맵핑을 제공합니다. 암호화된 장치를 만들거나 액세스하는 것 같은 사용자 수준의 연산은 cryptsetup 유틸리티의 사용으로 이루어집니다.

C.2.1. LUKS 개요

  • LUKS가 하는 일은 다음과 같습니다:
    • LUKS는 전체 블럭 디바이스를 암호화합니다.
      • LUKS는 다음과 같은 이동 디바이스의 내용을 보호하는데 적합합니다:
        • 이동가능한 저장소 미디어
        • 랩탑 디스크 드라이브
    • 암호화된 블럭의 내용은 임의의 것이 될 수 있습니다.
      • 이 특징은 swap 디바이스를 암호화할 때 유용합니다.
      • 이는 또한 데이터 저장소로 특별히 포맷된 블럭 디바이스를 활용하는 데이터베이스 시스템을 사용할 때도 유용합니다.
    • LUKS는 기존의 디바이스 맵퍼 커널 서브시스템을 활용합니다.
      • 이것은 LVM이 사용하는 것과 동일한 서브시스템으로, 테스트가 잘 된 것입니다.
    • LUKS는 암호 강화를 제공합니다.
      • 이 기능은 사전 기반의 공격에서 디바이스를 보호합니다.
    • LUKS 장치는 다중 키 슬롯을 가질 수 있습니다.
      • 이로인해 사용자는 키/암호를 여벌로 추가할 수 있습니다.
  • LUKS가 제공하지 않는 것은 다음과 같습니다:
    • LUKS는 많은(8명 이상) 사용자들이 같은 디바이스에 원격 액세스 키를 가져야만 하는 경우에는 적합하지 않습니다.
    • LUKS는 파일 수준의 암호화를 요구하는 경우에는 적합하지 않습니다.
더 자세한 LUKS에 대한 정보는 프로젝트 웹사이트 http://code.google.com/p/cryptsetup/에 있습니다.