Praktická kryptológia (17. časť): Šifrovanie diskových oblastí
Tento článok bude voľným pokračovaním predošlej časti seriálu, v ktorej sme sa venovali šifrovaniu pevných diskov. Zameriame sa na niektoré významné detaily a uvedieme význam nástrojov a procedúr, ktoré sme použili pri šifrovaní. Okrem detailnejšieho opisu šifrovacieho procesu spomenieme aj nevýhody, ktoré sú spojené so šifrovaním úložných médií. LUKS Linux Unified Key Setup, implementovaný vo forme príkazu cryptsetup, je súčasťou CryptoAPI Linuxu (ide o rozšírenie pôvodného systému dm-crypt). Každá zašifrovaná disková oblasť obsahuje okrem zašifrovaných údajov aj tzv. LUKS hlavičku (header). Tá nesie informáciu o použitej šifre, haši, šifrovacom móde a kontrolnom súčte hlavného kľúča. LUKS spravuje kľúče prostredníctvom dvojúrovňového šifrovania: 1. úroveň – disková oblasť sa zašifruje náhodným silným kľúčom, 2. úroveň – silný kľúč sa zašifruje jedným z ôsmich používateľských kľúčov, ktoré sa vytvárajú pomocou algoritmu PBKDF2 (SHA-1). Pretože LUKS pracuje s ôsmimi možnými používateľskými kľúčmi (heslami), možno diskovú oblasť sprístupniť viacerým používateľom a takisto sa dajú dopĺňať šifrovacie kľúče bez nutnosti opätovného šifrovania diskovej oblasti. LUKS navyše pracuje aj s tzv. súbormi kľúčov (keyfiles), ktoré možno ukladať na externé médiá a ešte viac tak zvýšiť úroveň zabezpečenia údajov. Blokové šifry sa v prípade šifrovania diskových oblastí aplikujú pomocou tzv. šifrovacích módov. Pri ich použití nie sú žiadne dva rovnaké bloky vstupných údajov zašifrované na rovnaký blok výstupných zašifrovaných údajov. Najpoužívanejšie šifrovacie módy sú LRW (od jadra 2.6.20) a XTS (od jadra 2.6.24). Princíp práce LUKS Zjednodušený princíp práce so zašifrovanými diskovými oblasťami je nasledujúci: 1. pomocou nástroja cryptsetup pripravíme (luksFormat) a namapujeme (luksOpen) zvolenú diskovú oblasť (blokové zariadenie) do zložky /dev/mapper, 2. pomocou subsystémov jadra device mappera CryptoAPI pracujeme so zariadením namapovaným v zložke /dev/mapper,pričom všet ...Článok je uzamknutý
Pokračovanie článku patrí k prémiovému obsahu pre predplatiteľov. S digitálnym predplatným už od 10 € získate neobmedzený prístup k uzamknutému obsahu na celý rok. Objednať si ho môžete TU. Ak ho už máte prihláste sa TU
Prihlásiť pomocou členstva PC REVUE
Mohlo by Vás zaujímať
Využitie umelej inteligencie v riešeniach kybernetickej bezpečnosti
Inteligentný algoritmus sa dokáže sám učiť a prijíma rozhodnutia na základe vstupov z okolitého prostredia nezávisle, bez zapojenia sa človeka. Strojové učenie je schopnosť počítačových systémov nájsť ...
V znamení kontajnerizácie a multicloudu
Motto jedenásteho ročníka podujatia VMworld v Barcelone „Make Your Mark“ je konkrétne aj abstraktné zároveň. Dá sa interpretovať ako výzva, aby ste v reálnom alebo digitálnom svete po sebe zanechali n ...
Python / 3. časť: Tok programu
Podmienené vykonávanie Interpreter Pythonu vykonáva kód programu krok za krokom, resp. riadok za riadkom. Hovoríme pritom o tzv. toku vykonávania (flow of execution) programu, ktorý sa dá zmeniť niek ...