29.2. dm-crypt/LUKS を使用したブロックデバイスの暗号化
LUKS ( Linux Unified Key Setup )は、ブロックデバイスの暗号化の仕様です。これは、データのディスク上の形式とパスフレーズ/キー管理ポリシーを確立します。
LUKS は、dm-crypt モジュールを介してカーネルデバイスマッパーサブシステムを使用します。この配置は、デバイスのデータの暗号化と復号を処理する低レベルのマッピングを提供します。暗号化されたデバイスの作成やアクセスなどのユーザーレベルの操作は、cryptsetup ユーティリティーを使用して実行できます。
29.2.1. LUKS の概要
- LUKS の機能:
- LUKS はブロックデバイス全体を暗号化します。
- LUKS は、以下のようなモバイルデバイスのコンテンツを保護するのに適しています。
- リムーバブルストレージメディア
- ラップトップのディスクドライブ
- 暗号化されたブロックデバイスの基本的な内容は任意です。
- これにより、swap デバイスの暗号化に役立ちます。
- また、とりわけデータストレージ用にフォーマットしたブロックデバイスを使用する特定のデータベースに関しても有用です。
- LUKS は、既存のデバイスマッパーのカーネルサブシステムを使用します。
- これは LVM で使用されるサブシステムと同じであるため、十分にテストされています。
- LUKS はパスフレーズの強度を提供します。
- これにより、辞書攻撃から保護されます。
- LUKS デバイスには、複数のキースロットが含まれます。
- これにより、ユーザーはバックアップキー/パスフレーズを追加できます。
- LUKS が 行わない こと
- LUKS は、多くのユーザー(8 人以上)が同じデバイスへの個別のアクセスキーを持つことを必要とするアプリケーションには適していません。
- LUKS は、ファイルレベルの暗号化を必要とするアプリケーションには適していません。
LUKS の詳細は、を参照してください。 http://code.google.com/p/cryptsetup/