C.2. 使用 dm-crypt/LUKS 加密块设备
Linux 通用密钥设置(LUKS)是关于块设备加密的具体说明。它为数据建立了一个非磁盘格式以及密码短语/密钥管理策略。
LUKS 通过
dm-crypt 模块使用内核设备映射器子系统。这个协议提供处理设备数据加密和解密底层映射。用户级别操作,比如生成和访问加密的设备,是通过使用 cryptsetup 程序完成的。
C.2.1. LUKS 概要
- LUKS 做什么:
- LUKS 加密整个块设备
- LUKS 因此非常适合保护移动设备的内容,比如:
- 可移动存储介质
- 笔记本磁盘驱动器
- 加密块设备的基本内容是随机的。
- 这可使其用于加密
swap设备。 - 这还对使用特殊格式块设备进行数据存储的某些数据库有用。
- LUKS 使用现有设备映射器内核子系统。
- 这与 LVM 使用的子系统相同,因此经过测试。
- LUKS 提供密码短语增强。
- 这可以防止字典攻击。
- LUKS 设备包含多密钥插槽。
- 这可允许用户添加备份密钥/密码短语。
- LUKS 不能做什么:
- LUKS 不适用于需要很多(超过 8 个)用户对同一设备有不同访问密钥的程序。
- LUKS 不适用于需要文件级别加密的程序。
有关 LUKS 详情可参考其项目网站,地址为:http://code.google.com/p/cryptsetup/。
