Dm-crypt/ru

dm-crypt – это система шифрования дисков с использованием платформы ядра crypto API и подсистемы определения устройств. С помощью dm-crypt администраторы могут зашифровать весь диск, логические тома, разделы, а также отдельные файлы.

Подсистема dm-crypt поддерживает структуру Linux Unified Key Setup (LUKS), которая позволяет с помощью различных ключей получать доступ к зашифрованным данным, а также управлять ключами (например, изменять ключи, добавлять дополнительные пароли, и др.) Хотя dm-crypt поддерживает установку без LUKS, данная статья будет в основном посвящена функционалу LUKS, в силу её гибкости, управляемости, а также широкой поддержки в обществе.

Конфигурация
Существует два условия, необходимых для использования dm-crypt:


 * 1) Настройка ядра Linux
 * 2) Установка пакета

Конфигурация ядра
Для использования dm-crypt необходимо настроить несколько параметров конфигурации.

Прежде всего, должна быть включена поддержка инфраструктуры device mapper и crypt target:

Далее, ядро Linux должно поддерживать набор криптографических функций, которые администратор хочет использовать для шифрования. Они могут быть найдены в разделе Cryptographic API:

Если также будет зашифрована корневая файловая система, необходимо создать initramfs, в которой корневая файловая система будет расшифрована перед монтированием. Таким образом, требуется поддержка initramfs:

Установка Cryptsetup
Пакет предоставляет команду, которая используется для открытия или закрытия зашифрованного хранилища, а также для управления паролями и связанными с ними ключами.

Ключевой файл или пароль
Чтобы начать работу с зашифрованным хранилищем, администратор должен решить, какой метод использовать для создания ключа шифрования. Если используется, можно выбрать пароль или ключевой файл. Ключевой файл может быть любым файлом, но рекомендуется использовать надлежащим образом защищённый (ввиду того, что доступ к ключевому файлу подразумевает доступ к зашифрованным данным) файл с случайными данными.

Для создания ключевого файла, можно использовать команду :

В следующих разделах мы будем указывать каждую команду для обоих случаев: пароля и ключевого файла. Конечно, необходим только один метод.

Создание платформы зашифрованного хранилища
Чтобы создать платформу защищённого хранилища (которое может быть диском, разделом, файлом, ...) вызовите команду с параметром.

К примеру, что использовать как носитель зашифрованных данных:

Для использования ключевого файла вместо пароля:

Параметр  сообщает, какую длину ключа использовать для настоящего ключа шифрования (который, в отличие от пароля или ключевого файла, используется непосредственно для доступа к данным).

Открытие зашифрованного хранилища
Чтобы открыть зашифрованное хранилище (т.е. сделать реальные данные доступными благодаря незаметной расшифровке), используйте параметр.

Если используется ключевой файл, команда будет выглядеть таким образом:

Когда команда успешно завершится, станет доступным новый файл устройства.

Если это зашифрованное устройство используется в первый раз, его необходимо отформатировать. Следующий пример использует файловую систему Btrfs, но, конечно же, система может создать и любую другую:

Когда файловая система создана, или форматирование уже было произведено в прошлом, файл устройства может быть смонтирован:

Закрытие зашифрованного хранилища
Чтобы закрыть зашифрованное хранилище (т.е. убедиться, что реальные данные больше не доступны благодаря незаметной расшифровке), используйте параметр :

Конечно, убедитесь, что устройство больше не используется:

Управление ключами LUKS
Ключи LUKS используются для доступа к реальным ключам шифрования. Они хранятся в слотах в заголовке (зашифрованного) раздела, диска или файла.

Вывод списка слотов
С параметром  может быть отображена информация о зашифрованном разделе, диске или файле. Она содержит слоты:

В приведённом выше примере использованы два слота. Заметьте, что  не разглашает ничего секретного – она просто отображает содержимое заголовка LUKS. Чтобы вызвать, нет необходимости предоставлять ключи расшифровки.

Добавление ключевого файла или пароля
Чтобы добавить дополнительный ключевой файл или пароль для доступа к зашифрованным данным, используйте параметр :

To use a keyfile to unlock the key (but still add in a passphrase):

If a keyfile is to be added (say ):

Or, to use the first keyfile to unlock the main key:

Удаление ключевого файла или пароля
С помощью параметра  можно удалить ключевой файл или пароль (таким образом, их больше невозможно будет использовать для расшифровки хранилища):

Или для удаления ключевого файла:

Убедитесь, что хотя бы один способ доступа к данным остался доступен. Когда пароль или ключевой файл снят с использования, он не может быть снова восстановлен.

Опустошение слота
Suppose the passphrase or keyfile is no longer known, then the slot can be freed. Of course, this does require prior knowledge of which slot that the passphrase or keyfile was stored in.

For instance, to empty out slot 2 (which is the third slot as slots are numbered starting from 0):

This command will ask for a valid passphrase before continuing. Or one can pass on the keyfile to use:

Automate mounting encrypted file systems
Until now, the article focused on manual setup and mounting/unmounting of encrypted file systems. An init service exists which automates the decrypting and mounting of encrypted file systems.

Настройка dm-crypt
Edit the file and add in entries for each file system. The supported entries are well documented in the file, the below example is just that - an example:

Настройка fstab
The next step is to configure to automatically mount the (decrypted) file systems when they become available. It is recommended to first obtain the UUID of the decrypted (mounted) file system:

Then, update the file accordingly:

Add initscript to bootlevel
Don't forget to have the init service launched at boot:

Дополнительные ресурсы

 * Dm-crypt full disk encryption on the Gentoo Wiki provides supplementary information on using encrypted file systems for Gentoo Linux installations
 * The cryptsetup FAQ hosted on GitLab covers a wide range of frequently asked questions.