C.2. Verschlüsselung von Blockgeräten mittels dm-crypt/LUKS
Linux Unified Key Setup (LUKS) ist eine Spezifikation für die Verschlüsselung von Blockgeräten. Es richtet ein On-Disk-Format für die Daten ein sowie eine Richtlinie zur Passphrasen- bzw. Schlüsselverwaltung.
LUKS verwendet das Subsystem des Kernel-Geräte-Mappers via dem
dm-crypt-Modul. Diese Herangehensweise bietet ein Low-Level Mapping, das Verschlüsselung und Entschlüsselung der Daten auf dem Gerät handhabt. Operationen auf Benutzerebene, wie z.B. das Erzeugen verschlüsselter Geräte und Zugriff darauf, werden mit Hilfe des cryptsetup-Dienstprogramms durchgeführt.
C.2.1. Übersicht zu LUKS
- Was macht LUKS:
- LUKS verschlüsselt komplette Blockgeräte
- LUKS ist deshalb gut geeignet, die Inhalte mobiler Geräte zu schützten, wie z.B.:
- Entfernbare Speichermedien
- Laptop-Festplatten
- Die zu Grunde liegenden Inhalte des verschlüsselten Blockgeräts können beliebig sein.
- Deshalb ist es auch nützlich für die Verschlüsselung von
Swap-Geräten. - Dies kann ebenfalls nützlich sein für bestimmte Datenbanken, die speziell formatierte Blockgeräte zur Datenspeicherung verwenden.
- LUKS nutzt das vorhandene Geräte-Mapper Kernel-Subsystem.
- Dies ist dasselbe Subsystem, welches auch von LVM genutzt wird, es ist also gründlich getestet.
- LUKS bietet Passphrasenverstärkung.
- Dies schützt gegen Wörterbuchangriffe.
- LUKS-Geräte verfügen über mehrere Schlüssel-Plätze.
- Dies erlaubt es Benutzern, Ersatzschlüssel bzw. -passphrasen hinzuzufügen.
- Was LUKS nicht macht:
- LUKS ist nicht geeignet für Anwendungen, die für viele (mehr als acht) Benutzer jeweils unterschiedliche Zugriffsschlüssel für dasselbe Gerät erfordern.
- LUKS ist nicht geeignet für Anwendungen, die Verschlüsselung auf Dateiebene erfordern.
Detailliertere Informationen zu LUKS sind auf der Projekt-Website unter http://code.google.com/p/cryptsetup/ verfügbar.
