Prihlásenie
Služby
Služby
Sekcie
Prihlásenie
  • Home
  • ITPro
  • Praktická kryptológia (17. časť): Šifrovanie diskových oblastí
Image

Praktická kryptológia (17. časť): Šifrovanie diskových oblastí

ITPro
Zdieľať
0
Tento článok bude voľným pokračovaním predošlej časti seriálu, v ktorej sme sa venovali šifrovaniu pevných diskov. Zameriame sa na niektoré významné detaily a uvedieme význam nástrojov a procedúr, ktoré sme použili pri šifrovaní. Okrem detailnejšieho opisu šifrovacieho procesu spomenieme aj nevýhody, ktoré sú spojené so šifrovaním úložných médií. LUKS Linux Unified Key Setup, implementovaný vo forme príkazu cryptsetup, je súčasťou CryptoAPI Linuxu (ide o rozšírenie pôvodného systému dm-crypt). Každá zašifrovaná disková oblasť obsahuje okrem zašifrovaných údajov aj tzv. LUKS hlavičku (header). Tá nesie informáciu o použitej šifre, haši, šifrovacom móde a kontrolnom súčte hlavného kľúča. LUKS spravuje kľúče prostredníctvom dvojúrovňového šifrovania: 1. úroveň – disková oblasť sa zašifruje náhodným silným kľúčom, 2. úroveň – silný kľúč sa zašifruje jedným z ôsmich používateľských kľúčov, ktoré sa vytvárajú pomocou algoritmu PBKDF2 (SHA-1). Pretože LUKS pracuje s ôsmimi možnými používateľskými kľúčmi (heslami), možno diskovú oblasť sprístupniť viacerým používateľom a takisto sa dajú dopĺňať šifrovacie kľúče bez nutnosti opätovného šifrovania diskovej oblasti. LUKS navyše pracuje aj s tzv. súbormi kľúčov (keyfiles), ktoré možno ukladať na externé médiá a ešte viac tak zvýšiť úroveň zabezpečenia údajov. Blokové šifry sa v prípade šifrovania diskových oblastí aplikujú pomocou tzv. šifrovacích módov. Pri ich použití nie sú žiadne dva rovnaké bloky vstupných údajov zašifrované na rovnaký blok výstupných zašifrovaných údajov. Najpoužívanejšie šifrovacie módy sú LRW (od jadra 2.6.20) a XTS (od jadra 2.6.24). Princíp práce LUKS Zjednodušený princíp práce so zašifrovanými diskovými oblasťami je nasledujúci: 1. pomocou nástroja cryptsetup pripravíme (luksFormat) a namapujeme (luksOpen) zvolenú diskovú oblasť (blokové zariadenie) do zložky /dev/mapper, 2. pomocou subsystémov jadra device mappera CryptoAPI pracujeme so zariadením namapovaným v zložke /dev/mapper,pričom všet ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU


Prihlásiť pomocou členstva PC REVUE
Zobrazit Galériu

Marek Sopko

Všetky autorove články
krypto bezpečnosť pocitac technológie disk