C.2. Шифрование с помощью dm-crypt/LUKS

LUKS (Linux Unified Key Setup) — спецификация шифрования блочных устройств, определяющая формат данных на диске и политику управления парольными фразами и ключами.
Модуль dm-crypt позволяет LUKS использовать подсистему соответствий устройств ядра, что обеспечивает создание низкоуровневых соответствий, отвечающих за шифрование и расшифрование данных. Действия пользователей, такие как создание зашифрованных устройств и обращение к ним, выполняются с помощью утилиты cryptsetup.

C.2.1. Обзор LUKS

  • Функции LUKS:
    • LUKS осуществляет шифрование блочных устройств
      • LUKS подходит для защиты переносных устройств:
        • съемных накопителей
        • дисковых устройств в ноутбуках
    • Содержимое зашифрованного устройства может быть любым.
      • Допускается шифрование устройств swap.
      • Этот факт также поможет при работе с некоторыми базами данных, использующими специально отформатированные блочные устройства данных.
    • LUKS использует существующую подсистему соответствий устройств ядра.
      • Та же подсистема используется в LVM, поэтому она уже прошла хорошую проверку.
    • LUKS обеспечивает защиту парольных фраз.
      • Это обеспечивает защиту от попыток взлома с использованием слов из словарей.
    • Устройства LUKS содержат несколько слотов ключей.
      • Это позволяет пользователям добавлять запасные ключи и парольные фразы.
  • Чего LUKS НЕ делает:
    • LUKS не является оптимальным решением для приложений, требующих наличия разных ключей доступа к одному устройству для большого числа пользователей (больше восьми).
    • LUKS не подходит для приложений, для которых требуется обеспечить шифрование на уровне файлов.
Дальнейшую информацию о LUKS можно по адресу http://code.google.com/p/cryptsetup/.