Praktická kryptológia (17. časť): Šifrovanie diskových oblastí
Tento článok bude voľným pokračovaním predošlej časti seriálu, v ktorej sme sa venovali šifrovaniu pevných diskov. Zameriame sa na niektoré významné detaily a uvedieme význam nástrojov a procedúr, ktoré sme použili pri šifrovaní. Okrem detailnejšieho opisu šifrovacieho procesu spomenieme aj nevýhody, ktoré sú spojené so šifrovaním úložných médií. LUKS Linux Unified Key Setup, implementovaný vo forme príkazu cryptsetup, je súčasťou CryptoAPI Linuxu (ide o rozšírenie pôvodného systému dm-crypt). Každá zašifrovaná disková oblasť obsahuje okrem zašifrovaných údajov aj tzv. LUKS hlavičku (header). Tá nesie informáciu o použitej šifre, haši, šifrovacom móde a kontrolnom súčte hlavného kľúča. LUKS spravuje kľúče prostredníctvom dvojúrovňového šifrovania: 1. úroveň – disková oblasť sa zašifruje náhodným silným kľúčom, 2. úroveň – silný kľúč sa zašifruje jedným z ôsmich používateľských kľúčov, ktoré sa vytvárajú pomocou algoritmu PBKDF2 (SHA-1). Pretože LUKS pracuje s ôsmimi možnými používateľskými kľúčmi (heslami), možno diskovú oblasť sprístupniť viacerým používateľom a takisto sa dajú dopĺňať šifrovacie kľúče bez nutnosti opätovného šifrovania diskovej oblasti. LUKS navyše pracuje aj s tzv. súbormi kľúčov (keyfiles), ktoré možno ukladať na externé médiá a ešte viac tak zvýšiť úroveň zabezpečenia údajov. Blokové šifry sa v prípade šifrovania diskových oblastí aplikujú pomocou tzv. šifrovacích módov. Pri ich použití nie sú žiadne dva rovnaké bloky vstupných údajov zašifrované na rovnaký blok výstupných zašifrovaných údajov. Najpoužívanejšie šifrovacie módy sú LRW (od jadra 2.6.20) a XTS (od jadra 2.6.24). Princíp práce LUKS Zjednodušený princíp práce so zašifrovanými diskovými oblasťami je nasledujúci: 1. pomocou nástroja cryptsetup pripravíme (luksFormat) a namapujeme (luksOpen) zvolenú diskovú oblasť (blokové zariadenie) do zložky /dev/mapper, 2. pomocou subsystémov jadra device mappera CryptoAPI pracujeme so zariadením namapovaným v zložke /dev/mapper,pričom všet ...Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva PC REVUE
Mohlo by Vás zaujímať
Linux súkromne i pracovne v2.0 (40. časť) Príkazy git
Táto časť seriálu bude stručným sumárom základných príkazov CLI, pomocou ktorých naštartujeme prácu v systéme git. Pomocou tejto jednoduchej referencie sa naučíme inicializovať prácu so systémom git a ...
Praktická kryptológia (25. časť) Hašovacie konštrukcie
V prípade, že sa rozhodneme hlbšie si naštudovať základy hašovacích algoritmov MD a SHA, určite sa stretneme s pojmami ako Merklova-Damgårdova, resp. Wide-Pipe konštrukcia. Pomocou nich sa za použitia ...
VMware NSX L2 VPN alebo Ako si ponechať IP adresu
V digitálnej dobe 21. storočia čoraz viac spoločností outsourcuje svoje IT riešenia a systémy k rôznym poskytovateľom na IT trhu ako súčasť znižovania nákladov. Aj keď v poslednom čase pozorujeme znač ...
