Не е тајна дека денес, шифрирањето на податоците е можеби единствениот начин некако да се зачува. Денес ќе научиме како да креираме шифрирана партиција во Linux користејќи го стандардот luks (Linux Unified Key Setup). Како пример ќе дадам слики од екранот од оперативниот систем CentOS Linux.

Значи, пред сè, да го подготвиме делот што ќе го шифрираме. Создадов нов диск во мојата виртуелна машина, го поврзав со SATA интерфејсот и уредот /dev/sdb се појави во системот

Ајде да создадеме главен дел за него:

# fdisk /dev/sdb

Создадовме 1 партиција (sdb1), го доделивме целиот слободен простор на неа.

Одлично, сега ајде да ја форматираме партицијата /dev/sdb1 користејќи криптографска заштита со помош на лозинка. Ќе биде побарано да внесеме лозинка. Ајде да повториме двапати за да не погрешиме.

# cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb1

Стандардниот алгоритам е AES 256bit. Доколку е потребно, можете да изберете различен алгоритам со одредување на должината на копчињата -c алгоритам -s

# cryptsetup -c aes -s 1024 --verbose --verify-passphrase luksFormat /dev/sdb1

Потоа го активираме крипто-контејнерот под името safe:

# cryptsetup luksOpen /dev/sdb1 safe

Како резултат на тоа, создаваме нов блок уред во директориумот /dev/mapper/ со име safe.

Направете датотечен систем:

# mkfs.ext3 /dev/mapper/safe

Што ако сакаме нашата партиција да се активира секогаш кога системот ќе се стартува (се разбира, барајќи лозинка)?

Ајде да ја уредиме датотеката /etc/crypttab, која е слична на /etc/fstab

# vim /etc/crypttab

Ајде да ја додадеме линијата таму:

безбедно /dev/sdb1 нема

И во датотеката /etc/fstab следново:

/dev/mapper/safe /safe ext3 стандардно 0 0

Да, ситуацијата. Создадовме дел за крипто. Го знаеме клучот. Дали е можно да се направи делот достапен не само со нашиот клуч, туку и со друг? Односно, сакаме да му дадеме пристап на „Васија“ за да може да работи на еднаква основа со нас. Лесно.

Ајде да додадеме уште еден клуч во крипто-контејнерот.

Севкупно, можете да креирате до 8 клучеви, од кои секое се вклопува во својот слот.

Можете да ги прикажете зафатените слотови вака:

# cryptsetup luksDump /dev/sdb1

Како што можете да видите, слотови 0 и 1 се зафатени со клучните датотеки, исто така, наместо лозинки.

Можете да го прикажете статусот на крипто контејнерот вака:

Безбеден статус на # cryptsetup

Практичен пример.

Цел: Заштитете го вашиот USB-уред од љубопитните очи.

Ајде да го поврземе флеш-уредот со нашиот систем:

Флеш-уредот беше идентификуван како SDC-уред. Ова значи дека се појави уредот /dev/sdc. Ако флеш-уредот имаше масни или ntfs партиции, тогаш подобро е да ги фрлите информациите некаде, бидејќи по шифрирањето на уредот сè ќе се изгуби.

Значи, можеме да го поделиме флеш-уредот користејќи fdisk, можеме да го оставиме како што е.

# cryptsetup luksFormat /dev/sdc

Внесете ја лозинката.

Сега да го поврземе нашиот шифриран уред за да го означиме за новиот датотечен систем:

# cryptsetup luksOpen /dev/sdc блиц

Сега од нас ќе биде побарана лозинка, откако ќе ја внесеме во системот ќе се појави нов уред /dev/mapper/<имя>, во нашиот случај блиц.

Ајде да создадеме датотечен систем на овој уред:

# mkfs.ext3 /dev/mapper/flash

Подготвени. Па, време е да креирате клучеви што ќе се користат за пристап до уредот. Можете да подготвите неколку клучеви (вкупно до 8 слотови, иако 0-тиот отвор е веќе окупиран со лозинка, но може да се избрише).

# dd if=/dev/urandom of=~/keyfile.key bs=1 count=256

Така, ќе создадеме датотека од 256 бајти исполнета со случајни броеви. Можете да го проверите ова вака:

# xxd ~/keyfile.key

Навистина. сосема случајно. Сега останува само да го додадеме овој клуч на нашиот флеш-уред.

Ајде да го оневозможиме крипто-контејнерот засега.

# cryptsetup luksЗатвори блиц

Додадете клуч:

# cryptsetup luksAddKey /dev/sdc ~/keyfile.key

Ќе ни биде побарано да внесеме лозинка за да се осигураме дека имаме пристап до оваа меморија.

# cryptsetup luksDump /dev/sdc

Одлично! Сега да го зачуваме клучот на безбедно место.

Пример 1.

Корисникот „А“ сака да постави датотека на флеш-уред, знаејќи ја лозинката:

Го отклучивме користејќи лозинка, создавајќи уред за mydisk, а потоа го монтиравме mydisk во домашниот директориум. Создаде текстуална датотека hello.txt со содржина. Контејнерот е оневозможен.

Пример 2.

Го отклучивме користејќи ја датотеката со клучот и создадовме флешка уред. Го монтиравме во домашниот директориум на корисникот sergey, прочитајте ја датотеката - сè беше во ред!

: - Руски

Активниот развој на страницата е завршен

Ако имате нешто да додадете, тогаш дополнете ги деловите со нови информации. Нашите печатни грешки и грешки во написот може лесно да се уредуваат, нема потреба да го пријавувате ова преку е-пошта, ве молиме почитувајте го стилот на оваа страница и користете разделувачи на делови (сиви линии со различна дебелина).

Шифрирање на податоци во Debian

Многу луѓе мислат дека нема потреба да се шифрираат нивните податоци. Меѓутоа, во секојдневниот живот често се среќаваме со ситуации како „изгубен е флеш-уредот“ или „лаптопот се поправа“ итн. Ако вашите податоци се шифрирани, тогаш воопшто не треба да се грижите за тоа: никој нема да ги објави на Интернет или да ги користи на друг начин.

Шифрирање со помош на cryptsetup

Ајде да ги инсталираме потребните компоненти:

# apt-get инсталирај cryptsetup

Стандардна синтакса

/dev/sda2. Ајде да ја внесеме командата:

# cryptsetup создаде sda2_crypt /dev/sda2

Оваа команда ќе создаде шифрирана врска со нашиот диск. Во каталогот /dev/mapperЌе се појави нов уред со името што го побаравме: /dev/mapper/sda2_crypt, за пристап до кој користиме шифриран пристап на дискот. Во случајот со ЛУКС името ќе биде /dev/mapper/sda2_crypt

Ако веќе постоеше датотечен систем на дискот и би сакале да ги зачуваме податоците на него, тогаш треба да го шифрираме за последователна употреба:

# dd if=/dev/sda2 of=/dev/mapper/sda2_crypt

Ако креирате нов диск на празна партиција, можете да го форматирате:

# mkfs.ext3 /dev/mapper/sda2_crypt

Подоцна можете да го монтирате овој диск насекаде:

# монтирајте /dev/mapper/sda2_crypt /path/to/mount/point

Проверете го интегритетот на податоците (како и обично, подобро е да се користи само во немонтирана состојба):

# fsck.ext3 /dev/mapper/sda2_crypt

Па дури и да се дешифрира назад ако повеќе не сакаме да користиме шифрирање:

# dd if=/dev/mapper/sda2_crypt of=/dev/sda2

Синтакса на LUKS

Горенаведените чекори може да се направат според стандардот LUKS

Иницијализирајте го делот:

cryptsetup luksFormat /dev/sda2

Се поврзуваме со системот:

cryptsetup luksOpen /dev/sda2 sda2_crypt

Формат:

mkfs.ext4 -v -L ПОДАТОЦИ /dev/mapper/sda2_crypt

Ние монтираме:

монтирајте /dev/mapper/sda2_crypt /mnt/data

Партицијата може рачно да се оневозможи на системот

cryptsetup luksЗатвори sda2_crypt

Поврзување при стартување

Датотеката што се користи за оваа намена е crypttab.

За нашиот диск, ќе ја напишеме следната линија во него:

нано /etc/crypttab # мапер на име клучни параметри/опции на уредот # Со стандардна синтакса sda2_crypt /dev/sda2 none aes-cbc-plain:sha256 # и\или според стандардот LUKS sda2_crypt /dev/sda2 нема luks

Стандардно, шифрирањето се користи со помош на лозинката внесена од корисникот. Така, секој пат кога ќе го подигнете компјутерот, системот секој пат ќе бара лозинка за поврзување на секоја шифрирана партиција. Дури и ако овие делови не се регистрирани во fstab.

Ако сакаме да се монтираме рачно, тогаш ја додаваме опцијата ноавтово полето „параметри/опции“.

Рачно поврзување на шифрирана партиција користејќи податоци од /etc/crypttab

cryptdisks_start msda2_crypt

И исклучување од претходно монтиран fs.

cryptdisks_stop sda2_crypt

За автоматско монтирање на fs на поврзаната шифрирана партиција, додадете линија во /etc/fstab

/dev/mapper/sda2_crypt /mnt/data ext4 стандардно 0 0

Работа со клучеви во LUKS

LUKS партицијата поддржува 8 различни клучеви, од кои секое се вклопува во својот слот.

Ја разгледуваме листата на користени клучеви

cryptsetup luksDump /dev/sda2

LUKS може да користи 2 типа клучеви - фрази за пристап и датотеки.

Можете да додадете клучен збор

cryptsetup luksAddKey /dev/sda2

Можете да додадете клучна датотека (2048 бита) и да поставите права за пристап до неа.

dd if=/dev/urandom of=/root/ext2.key bs=512 count=4 cryptsetup luksAddKey /dev/sda2 /root/ext2.key chmod 400 /root/sda2.key cryptsetup -d /root/sda2.key luksOpen /dev/sda2 sda2_crypt

За да се поврзете кога почнувате да користите клуч, уредете /etc/crypttab

нано /etc/crypttab sda2_crypt /dev/sda2 /root/sda2.key luks

Можете да отстраните лозинка или клуч од дел

cryptsetup luksKillSlot /dev/sda2 1

Монтирање за итни случаи во „странска“ дистрибуција

Никој не е имун од проблеми, а понекогаш треба да добиете пристап до шифрирана партиција од итен LiveCD диск.

Ја подигаме, ја поврзуваме партицијата со системот и го монтираме fs:

cryptsetup luksOpen /dev/sda2 sda2_crypt mount -t ext4 /dev/mapper/sda2_crypt /mnt/резервна копија

По работа, откачете го fs и исклучете ја шифрираната партиција од системот

umount /mnt/backup cryptsetup luksClose sda2_crypt

Пораки за грешка при исклучување

Ако root партицијата е шифрирана, ќе се прикаже порака кога ќе се исклучи

запирање на раните крипто-дискови... не успеа

Ова е техничка грешка. При исклучување, датотечните системи секогаш прво се демонтираат и дури потоа партицијата се исклучува. Како резултат на тоа, излегува дека алатката cryptsetup која се наоѓа на немонтираната партиција root повеќе не е достапна за извршување, што ни кажува INIT. Овој проблем не може да се реши без патерици, бидејќи ... За да го направите ова, треба да ги разгледате опциите за пренос на cryptsetup на RAM-диск

Слична ситуација се случува кога користите софтвер RAID кој содржи root партиција. 8)

Енкрипција со помош на модулот loop-aes

Шифрирање партиција на хард диск или флеш-уред со помош на лозинка

Во ова како даопишан метод на шифрирање AES256, други методи може да се користат слично (заменувајќи го името на методот со соодветното). Ќе ни требаат следниве пакети:

# apt-get install loop-aes-utils loop-aes-modules-`uname -r`

Забелешка: ако користите јадро за кое складиштето ги нема потребните loop-aes-modules, можете да ги инсталирате модулите со следните команди:

# apt-get install module-assistant loop-aes-source # module-assistant a-i loop-aes

Прва фаза

Во почетната фаза, го подготвуваме дискот да работи со него користејќи шифрирање.

Ајде да ја избереме партицијата на дискот (или флеш-уредот) што сакаме да го шифрираме, на пример, ќе биде /dev/sda2. Ајде да ја внесеме командата:

# losttup -e AES256 -T /dev/loop0 /dev/sda2

По извршувањето на оваа команда, сите повици до уредот /dev/loop0ќе бидат шифрирани и шифрирани пренасочени на уредот /dev/sda2. Сега имаме и шифрирани и нешифрирани канали до уредот за складирање податоци. Податоците се шифрираат со помош на лозинката што ја наведовте при изгубеното поставување.

Сега можеме, на пример, да го форматираме уредот:

# mkfs.ext3 /dev/loop0

Можеме да го монтираме:

# монтирајте /dev/loop0 /пат/до/монтирање

Можеме да го оневозможиме шифрирањето:

# losttup -d /dev/loop0

и што е најважно, можеме да ја шифрираме партицијата нема загуба на податоци:

# dd ако=/dev/sda2 од=/dev/loop0

и, исто така, дешифрираме ако одлучиме дека шифрирањето не е нашиот метод:

# dd ако=/dev/loop0 од=/dev/sda2

Па, најдобриот дел е што можеме да го провериме датотечниот систем за интегритет:

# fsck.ext3 /dev/loop0

Оваа функција не е достапна во сите методи за шифрирање партиции.

Секојдневна употреба

Ако веќе сте имале запис за делот /dev/sda2во вашиот /etc/fstab, тогаш само треба да ги додадете опциите, а ако не, тогаш напишете нешто како следново:

/dev/sda2 /path/to/mount ext3 циклус,енкрипција=AES256 0 0

Сега, при вчитување на оперативниот систем, ќе ви биде побарана лозинка за монтирање.

Ако не сакате процесот на преземање да биде прекинат со барање лозинка, можете да додадете опции ноавто,корисникна евиденција /etc/fstab:

/dev/sda2 /path/to/mount ext3 циклус,енкрипција=AES256,noauto,корисник 0 0

Се разбира, можете да го монтирате рачно (или од скрипта):

# mount /dev/sda2 /path/to/mount -o loop,encryption=AES256

Монтирање на повеќе датотечни системи

Понекогаш сакате да шифрирате неколку делови со податоци во исто време, но за да не внесете море од лозинки за секоја монтирање. На пример, имате флеш диск што го носите од дома до работа, пренослив хард диск итн. Или само неколку партиции/хард дискови.

Да речеме дека имаме шифрирана партиција /dev/sda2, кој го монтираме во директориумот секогаш кога го подигнуваме /mnt1. Се појави нов хард диск /dev/sdb1и сакаме автоматски да се монтира во директориумот mnt2при монтирање на првиот. Се разбира, можете да креирате општ систем заснован на нешто слично LVM, сепак, можете да одите по поедноставен пат:

регистрирај се во fstabнешто како следнава линија:

/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0 /dev/sdb1 /mnt2 ext3 noatime,exec,loop,encryption=AES256,cleartextkey=/mnt1/key.txt 0 0

Кога се вчитува, системот ги монтира точките по истиот редослед како што е опишано во fstab, на тој начин, ако првата партиција не е монтирана, клучот за монтирање на втората партиција ќе остане недостапен, а втората партиција исто така нема да биде монтирана.

Лозинката е зачувана како обичен текстова секако не е многу убаво, но се чува на шифрирана партиција (која исто така може да се демонтира). Наместо тоа, можете да го користите gpg-клуч, но ова нема да додаде голема безбедност (ако можат да го украдат клучот, тогаш нема да има голема разлика за каков клуч се работи), опција за шифрирање со gpg- клучот е опишан во човек загуби, овде само ќе дадам пример за влез во fstab:

/dev/sda2 /mnt1 ext3 noatime,exec,loop,encryption=AES256 0 0 /dev/sdb1 /mnt2 ext3 noatime,exec,loop,encryption=AES256,gpgkey=/mnt1/key.gpg 0 0

Белешки

За повеќе информации за поддржаните алгоритми за шифрирање, видете човек загуби, таму можете да видите и опис на други програмски опции губиток.

Ако имате проблеми со инсталирањето на AES модулите, прочитајте ја документацијата што доаѓа со пакетот јамка-aes-извор.

GRUB и шифрираниот root диск

Кога ја инсталирате root партицијата на шифриран диск, GRUB може да прикаже непријатни пораки во главното мени. Ова се случува затоа што стандардниот фонт /usr/share/grub/unicode.pf2 не е достапен. Копирање на фонтот

cp /usr/share/grub/unicode.pf2 /boot/grub/

Наведете ја поставката

нано /etc/default/grub GRUB_FONT=/boot/grub/unicode.pf2

Примени ја поставката:

ажурирање-grub

Шифрирањето на домашниот директориум обезбедува сигурна заштита за податоците зачувани на вашиот хард диск или други медиуми за складирање. Енкрипцијата е особено важна на лаптопите, на компјутерите со повеќекратен пристап, како и во сите други услови. При инсталирање на Linux Mint се нуди шифрирање на домашниот директориум.

Главната работа со целосното шифрирање на домашниот директориум е тоа што треба да го „преместите“ директориумот со шифрирани податоци надвор од точката на монтирање.

Перформансите се намалуваат малку, барем додека не се користи SWAP. SWAP е специјална партиција или датотека на дискот во која оперативниот систем преместува поединечни блокови од RAM меморијата кога нема доволно RAM за стартување апликации. SWAP е исто така шифриран ако изберете шифрирање на домашниот директориум во инсталаторот и режимот на мирување престане да работи.

Нешифрирањето SWAP кога домашниот директориум е шифриран е потенцијално опасно, бидејќи податоците од шифрирани датотеки може да завршат таму во јасен текст - целата поента на шифрирањето е изгубена. Почнувајќи од верзијата 14 на Linux Mint, за време на инсталацијата можете да ја изберете опцијата за шифрирање на целиот диск. Оваа опција е најпогодна за складирање на лични податоци на преносливи уреди (кои обично имаат само еден корисник).

1.3 Енкрипција во gnome – Seahorse

Linux Mint има вградена алатка Passwords and Keys, или Seahorse. Користејќи ги неговите можности, корисникот може да работи со сите клучеви, лозинки, како и сертификати кои се достапни во овој ОС.

Во суштина, Seahorse е апликација за GNOME (GNOME е бесплатна работна околина за оперативни системи слични на Unix), која е преден дел на GnuPG (бесплатна програма за шифрирање информации и создавање електронски дигитални потписи) и е дизајнирана да управува со клучеви за шифрирање и лозинки. Го замени GNOME Keyring, кој беше целосно заменет во GNOME 2.22, иако беше најавен уште во GNOME 2.18. Ви овозможува да ги извршите сите операции што претходно требаше да се направат на командната линија и да ги комбинирате под еден интерфејс:

управувајте со безбедноста на вашата работна средина и клучевите OpenPGP и SSH;

шифрирање, проширување и скенирање на датотеки и текст;

додавање и потврдување дигитални потписи на документи;

синхронизирајте ги клучевите со клучните сервери;

креирајте и објавувајте клучеви;

резервирајте клучни информации;

додавање на слики во кој било поддржан GDK како идентификатор на фотографија OpenGPG;

1.4 TrueCrypt

TrueCrypt има прилично удобен графички интерфејс, но, за жал, програмерите имаат хардкодирана интеграција со менаџерот на датотеки Nautilus во кодот.

Можете да користите различни методи за шифрирање на податоците.

Прво треба да креирате таканаречен контејнер кој ќе содржи папки со датотеки наменети за шифрирање. Контејнер може да биде датотека со произволно име или дури и цела партиција на дискот. За да пристапите до контејнерот, мора да наведете лозинка, а исто така можете да креирате клучна датотека (опционално) со која информациите ќе бидат шифрирани. Големината на контејнерот е ограничена.

Креирање шифрирани партиции/датотеки

Креирање клучна датотека:

truecrypt -create-keyfile /home/user/test/file,каде датотеката е името на клучната датотека.

Креирање на контејнер, во овој случај дел:

sudo truecrypt -k /home/user/test/file -c /dev/sda9

Наместо партицијата /dev/sda9, можете исто така да наведете датотека, на пример /home/user/test/cryptofile, но во овој случај ќе треба да ја одредите нејзината големина, тоа се прави со параметарот -size=5G пред параметарот -c. Примерот погоре ќе создаде криптофил од 5 GB. Понекогаш TrueCrypt ја прифаќа големината само во бајти за 5 GB, можете или да ја пресметате вредноста однапред и да наведете -size=5368709120, или да ја напишете на следниов начин: -size=`echo 1024^3*5 | п.н.е.`.

Веќе креираната датотека со клучеви ќе се користи за шифрирање.

Кога креирате, ќе ви биде понуден избор на тип на контејнер (нормален/скриен), датотечен систем (FAT, ext2/3/4 или без FS), во овој пример беше избран режимот без користење FS. Исто така, ќе ви биде понуден избор на алгоритам за шифрирање (на пример, AES), како и алгоритам за хаш (на пример, SHA-1) за шифрирање на потоци на податоци.

TrueCrypt се користи за шифрирање на податоци во лет, односно, можете да монтирате контејнер и да работите со датотеките во него како и обично (отвори/уреди/затвори/создај/бришење), што е многу погодно.

Шифрираната партиција/датотека е создадена. Сега, ако треба да го форматирате неговиот внатрешен датотечен систем (во натамошниот текст FS), треба да го направите следново.

Изберете го потребниот дел користејќи Truecrypt:

truecrypt -k /home/user/test/file /dev/sda9

Стандардно, ќе се користи уредот создаден од Truecrypt /dev/mapper/truecrypt0. Со пристап до овој уред, можете да го промените, на пример, FS во шифриран контејнер. Во овој случај, ова треба да се направи.

sudo mkfs.ext4 -v /dev/mapper/truecrypt0

Вака беше креиран ext4 FS во овој шифриран контејнер.

Следно, бидејќи овој контејнер е веќе „прикачен“ на уредот /dev/mapper/truecrypt0, останува само да го монтирате во некој директориум. Овој директориум за монтирање мора веќе да постои на системот.

sudo mount /dev/mapper/truecrypt0 /mnt/crypto, каде што /mnt/crypto е директориумот во кој е монтиран шифрираниот контејнер.

truecrypt -d

Сега, без да се знае клучната датотека и лозинката, никој нема да може да ги прочита скриените информации.

Вовед

Чувањето податоци во шифрирана форма е одличен начин да се заштитат информациите за да не стигнат до напаѓачот. Се развиваат криптографски системи за заштита на интелектуалната сопственост, трговските тајни или личните информации. Тие можат да доаѓаат во различни форми, да понудат различни нивоа на функционалност и да содржат кој било број на опции за да одговараат на широк опсег на оперативни системи и средини. Денес, бројот на современи криптографски методи, алгоритми и решенија е многу поголем од порано. И квалитетот на развојот е многу подобар. Покрај тоа, на пазарот има многу функционални решенија со отворен код, што ви овозможува да постигнете добро ниво на заштита без да трошите големи суми пари.

Во декември 2005 година, Институтот Понемон спроведе анкета меѓу различни експерти за безбедност на информации во врска со шифрирањето и заштитата на податоците. Меѓу 6.298 анкетирани, само 4 отсто од испитаниците користеле шифрирање на ниво на претпријатие. Од истото истражување, се појавија три главни причини за постојаното противење на официјалните правила за шифрирање:

• 69% од испитаниците споменале проблеми со перформансите;
• 44% од испитаниците споменале потешкотии со спроведувањето;
• 25% од испитаниците зборувале за високите трошоци за имплементација на криптографски алгоритми.

Во многу земји, организациите се изложени на различни притисоци за зголемување на транспарентноста во нивната работа. Но, од друга страна, тие сносат законска одговорност за необезбедување на безбедноста на доверливите информации. Ова беше, особено, случајот со продавниците за чевли на корпорацијата DSW во САД).

Федералната трговска комисија на САД поднесе тужба против DSW, во која се тврди дека не се обезбедуваат соодветни нивоа на безбедност на информациите и не се преземаат соодветни мерки за изградба на соодветни системи за ограничување на пристапот до овие податоци, како и незадоволителна заштита на мрежните врски помеѓу продавницата и канцеларијата. компјутери. Во случајот на DSW, околу 1,4 милиони кредитни картички и приближно 96.000 сметки за проверка беа потенцијално достапни за криминалците. И пред да се постигнат договори меѓу компанијата и FTC, овие сметки веќе биле користени незаконски.

Во денешно време, софтверските и инженерските решенија за шифрирање податоци се подостапни од кога било. Наместо паметните картички се повеќе се користи USB-клуч, кој од ден на ден станува поевтин. Вториот, пак, исто така често може да се најде, бидејќи повеќето лаптопи содржат читач на паметни картички.

Потрошувачите се повеќе почнуваат да размислуваат за опасностите поврзани со кражба на лични информации, податоци за сопственикот и броеви на кредитни картички. А овие стравови се само поттикнати од извештаите за масовна продажба на украдени информации од овој вид од институции на кои им се доверени толку вредни податоци.

Потрошувачите, исто така, почнуваат да сфаќаат дека е важно да се заштитат личните информации не само онлајн, туку и офлајн. На крајот на краиштата, несаканиот пристап до вашите податоци не се случува секогаш преку мрежата. Ова прашање е особено важно за оние чии незаштитени лаптопи може да завршат или во рацете на сервисен персонал за промени во конфигурацијата или во сервис за поправка.

Технички проблеми со шифрирањето

Функциите за шифрирање се потребни во сите модерни компјутерски системи со повеќе корисници каде што податоците, процесите и корисничките информации се логично одвоени. За да се потврди автентичноста на корисникот во таков систем, најавувањата и лозинките се хашираат и се споредуваат со хашовите што се веќе достапни во системот (или хашот се користи за дешифрирање на клучот за сесија, кој потоа се проверува за валидност). За да се спречи неовластено гледање лични информации, поединечни датотеки или цели делови може да се складираат во шифрирани контејнери. И мрежните протоколи, на пример, SSL\TLS и IPSec, дозволуваат, доколку е потребно, да се зајакне криптографската заштита на различни уреди (/dev/random, /dev/urandom, итн.) користејќи модуларни алгоритми кои работат со јадрото на оперативниот систем .

Целта на секоја технологија за шифрирање на диск е да се заштити од несакан пристап до личните информации и да се намали штетата од губење на интелектуална сопственост поради нелегален пристап или кражба на физички уред. Оперативниот систем Линукс со кернел верзија 2.6.4 воведе напредна криптографска инфраструктура која едноставно и сигурно ги штити личните податоци на многу слоеви на софтвер. Постојат цели стандарди за складирање на шифрирани податоци на ниско ниво, како Linux Unified Key Setup (LUKS) и имплементации на корисничко ниво, на пример, EncFS и CryptoFS датотечните системи, кои, пак, се засноваат на Брзиот кориснички простор Датотечниот систем (FUSE) за Linux. Се разбира, секој криптографски систем е исто толку отпорен на хакирање како и неговите лозинки и клучеви за пристап. Постојат три главни нивоа на кои се користат технологиите за шифрирање:

• ниво на датотека и датотечен систем (шифрирање датотека-по-датотека, контејнер за датотеки);
• ниско ниво на блок (контејнер со датотечен систем);
• хардверско ниво (специјализирани криптографски уреди).

Шифрирањето на ниво на датотека е многу едноставен метод што обично се користи за споделување датотеки. Повремено се користи шифрирање, што е погодно за испраќање разумен број датотеки. За повеќекориснички датотечни системи, проблемот со управувањето со клучеви се јавува затоа што папките и датотеките на различни корисници се шифрирани со различни клучеви. Се разбира, можете да користите еден клуч, но потоа добиваме технологија која потсетува на шифрирање на дискот. Како и секогаш, одговорноста на корисникот е да ја избере најбезбедната можна лозинка.

Понапредните криптографски апликации работат на ниво на датотечен систем, следејќи ги датотеките додека се креираат, пишуваат или менуваат. Овој метод обезбедува најдобра заштита за личните информации без разлика како се користат, а исто така е добар и за голем број датотеки. Покрај тоа, нема потреба да се грижите за апликациите што не можат да ги шифрираат датотеките поединечно.

Некои криптографски технологии се бесплатни и вклучени во многу дистрибуции. Патем, најновите верзии на Windows се опремени со специјален датотечен систем кој поддржува шифриран датотечен систем (EFS). Fedora поддржува голем број опции за шифрирање, вклучително и LUKS (може да ја овозможите поддршката за LUKS на Windows ако користите датотечни системи FAT или FAT32 и апликацијата FreeOTFE). И FUSE и EncFS се достапни во пакетите Extras. CryptoFS може да се инсталира и со преземање од официјална веб страна. .

Инфраструктурата FUSE се состои од модул на јадрото што може да се вчита и библиотека со кориснички простор што служи како основа и за датотечен систем CryptoFS и шифриран датотечен систем (EncFS). По својата структура, FUSE не влијае на изворниот код на јадрото и во исто време обезбедува висока флексибилност за имплементација на многу интересни додатоци, на пример, датотечен систем Secure Shell (SSHFS).

CryptoFS складира шифрирани податоци во позната структура на директориуми, поделени на два главни дела: текстуални информации (листа на датотеки, папки, архиви) и самите шифрирани податоци. Може да монтирате само шифриран директориум користејќи го клучот. Кога користите CryptoFS, не ви се потребни посебни привилегии, а поставувањето е исто така лесно.

Датотечниот систем EncFS е исто така имплементација на кориснички простор заснована на библиотеката FUSE, која обезбедува заштита од кражба на информации и работи на принципот на шифрирање датотека-по-датотека. Ја наследил својата структура од претходните верзии, но со подобрувања и во формата и во функцијата. Датотечниот систем EncFS може динамички да се прошири за да ги задоволи зголемените барања на корисниците. Датотеките може да се шифрираат според различни параметри (на пример, кога содржината се менува, по атрибути итн.). Во суштина, основното складирање за EncFS може да биде што било од ISO слика до мрежна партиција или дури и дистрибуиран датотечен систем.

Двата датотечни системи работат од крај до крај и можат да се користат на врвот на другите датотечни системи и логички апстракции, како што е датотечниот систем со запис или продолжен, кој може да се дистрибуира низ повеќе физички медиуми преку менаџер со логички партиции (LVM ). Следната илустрација шематски покажува како функционира овој датотечен систем: Во овој дијаграм, видливиот директориум е означен /mount (EncFS податочен слој на обичен текст).

Преклопување на кориснички простор што ја прикажува интеракцијата помеѓу FUSE и EncFS.

Под слојот за апстракција на датотечниот систем има шеми за шифрирање на ниско ниво (блок) слични на оние што се користат во LUKS. Шемите од овој тип работат само на блокови на дискови, без да се обрнува внимание на апстракции на датотечниот систем на повисоко ниво. Слични шеми може да се користат за датотеки со страници, за различни контејнери, па дури и за цели физички медиуми, вклучително и целосно шифрирање на root партицијата.

LUKS работи без точно познавање на форматот на датотечниот систем.

LUKS е дизајниран во согласност со Поставување доверлив клуч #1 (TKS1) и е компатибилен со Windows користејќи кој било вообичаен формат на датотечен систем (FAT/FAT32). Системот е добро прилагоден за мобилни корисници, поддржува издавање и отповикување клуч на Gnu Privacy Guard (GPG) и е потполно бесплатен. LUKS е способен за многу повеќе од која било друга имплементација опишана во овој напис. Покрај тоа, LUKS поддржува голем број решенија за креирање и управување со LUKS шифрирани уреди.

Датотечниот систем CryptoFS прифаќа само лозинка, додека медиумот шифриран со LUKS работи со какви било PGP (Pretty Good Privacy) клучеви со кој било број на лозинки. EncFS користи и лозинка за заштита на датотеките, но го отвора клучот зачуван во соодветниот root директориум.

Разликите помеѓу имплементациите на ниско ниво и корисничкиот простор најдобро се гледаат во практичните тестови. На ниско ниво, податоците може транспарентно да се префрлаат во датотечен систем, кој многу поефикасно управува со операциите за читање и запишување.

Тест конфигурација

Нашата тест платформа беше лаптопот Dell Latitude C610, малку застарен, но сепак прилично брз претставник на технологијата во стилот на 2002 година. Кога се напојува со батерија, C610 ја намалува фреквенцијата на процесорот на 733 MHz. Затоа, за време на тестирањето не го исклучивме лаптопот од штекерот. Следната табела ја прикажува конфигурацијата на лаптопот

Резултатите од тестот се добиени со користење на датотечен систем EXT3 под Linux. Можеби EXT3 не е најпродуктивниот во споредба со другите датотечни системи со записи. Но, експериментите со фино подесување на форматот на системот, големината на блокот, параметрите на дискот итн. не се целите на нашето тестирање, бидејќи тие не ги исполнуваат критериумите за едноставно поставување и конфигурација. Да потсетиме дека целта на статијата беше да покаже како криптографските решенија за Linux ви дозволуваат едноставно, ефикасно и евтино да креирате безбедно складирање податоци.

Инсталација

LUKS, FUSE и EncFS се достапни во дистрибуцијата на Fedora, така што не се потребни дополнителни напори. Но, CryptoFS ќе треба да се преземе одделно.

Составувањето на CryptoFS од изворниот код е прилично едноставно. Отпакувајте ја архивата, извршете ја скриптата за конфигурација во одредишниот директориум, а потоа стартувајте го make како што е прикажано на илустрацијата. Конфигурациската датотека содржи четири параметри: шифра за шифрирање, алгоритам за дигестирање пораки, големина на блок и број на сол за шифрирање.

Процесот на инсталација за CryptoFS е едноставен.

Поставувањето се состои од специфицирање на патеките на почетните и завршните директориуми (за шифрирани и нешифрирани податоци). Потоа можете да ја извршите командата cryptofs како што е прикажано на следната слика.

Поставување на CryptoFS.

Потоа можете да ја извршите командата mount, по што ќе можете да ја видите монтираната партиција.

Прво проверете дали е вчитан модулот на јадрото FUSE (осигурувач на мод-проб). EncFS го поедноставува процесот на создавање шифриран контејнер, како што се гледа на следната илустрација.

Ако го прескокнете процесот на инсталација на клучот (кој е специфичен за секоја ситуација), LUKS може лесно да се конфигурира како што е прикажано подолу.

Тестови и анализа на перформансите

Разликите во изведбата помеѓу домашната инсталација и инсталацијата во шифрирана средина со LUKS се прилично мали. Особено со оглед на забележливата разлика помеѓу решенијата за кориснички простор. За да ги оцениме перформансите на шифрирани датотечни системи еден по еден, користевме Iozone. За тестови, се користат записи од 4 KB до 16 MB, големината на датотеката варира од 64 KB до 512 MB, а резултатот е означен во KB/s.

Заклучок

Барем таму каде што се користи LUKS, не треба да се грижите за перформансите. Иако, се разбира, одредена загуба на перформанси е предизвикана од „транспарентно“ шифрирање на податоците. Системот LUKS е лесен и едноставен за инсталирање и може да се користи и на Linux и на Windows.

Корпоративните корисници најверојатно ќе мора да се соочат со ограничувања поврзани со политиките на компанијата. Тие често забрануваат решенија со отворен код или забрануваат одредени имплементации. Дополнително, понекогаш има ограничувања за увоз/извоз на технологии за шифрирање во однос на јачината на кодот, или ИТ одделот бара телефонска поддршка од давателот на решенија, што ги прави LUKS, EncFS и CryptoFS непотребни. Во секој случај, ЛУКС е одлично решение доколку ваквите проблеми не ви пречат. Добра опција за мали бизниси или домашни корисници.

Но, треба да запомните дека шифрирањето на податоците не е лек. Бидејќи шифрирањето се врши транспарентно, секоја тројанска програма што работи во име на корисникот може да пристапи до шифрираните податоци.

Мислење на уредникот

CryptoFS и EncFS се имплементации на кориснички простор. Како што објаснивме претходно, тие се едноставни во дизајнот и имплементацијата, но доаѓаат по цена на перформансите и можностите. Ова е особено очигледно кога ќе се спореди со LUKS. Не само што е значително побрз, туку поддржува и еден или повеќе PGP клучеви и може да се користи низ цела партиција.

Контејнерите за кориснички простор се важни првенствено за корисниците кои сакаат да ги заштитат личните информации во опкружување со повеќе корисници. И кој треба да ги заштити нивните податоци така што дури и администраторот не може да пристапи до хардверски или софтверски ресурси. Покрај придобивките од перформансите и поддршката меѓу платформите, LUKS добро се интегрира со системите за управување со клучеви GNOME и PGP. И леснотијата на секојдневната употреба на шифрирани партиции LUKS е едноставно импресивна. Патем, EncFS поддржува Pluggable Authentication Module (PAM) под Linux во соодветни средини.

Автор: Нитиш Тивари
Датум на објавување: 04 февруари 2015 г
Превод: Н.Ромоданов
Датум на превод: март 2015 година

TrueCrypt повеќе не е поддржан, но dm-crypt и LUKS се одлични опции со отворен код за шифрирање и користење на шифрирани податоци.

Безбедноста на податоците стана една од најголемите грижи кај интернет корисниците. Вестите за кражба на податоци од веб-локации станаа многу вообичаени, но заштитата на вашите податоци не е само одговорност на веб-локациите, има многу што ние како крајни корисници можеме да направиме за нашата сопствена безбедност. На пример, само некои примери се користење силни лозинки, шифрирање на тврди дискови што се наоѓаат на нашите компјутери и користење безбедни врски. Конкретно, шифрирањето на вашиот хард диск е добар начин да се обезбеди безбедност - не само што ќе ве заштити од какви било тројанци кои се обидуваат да ги украдат вашите податоци преку мрежата, туку и од физички напади.

Во мај оваа година, развојот на TrueCrypt, добро позната алатка за шифрирање дискови со отворен код, го прекина развојот. Како што многумина од вас знаат, тоа беше една од многу сигурни алатки дизајнирани за шифрирање на дискот. Тажно е да се види како алатка од овој калибар исчезнува, но толкава е големината на светот со отворен код што има неколку други алатки со отворен код кои можат да ви помогнат да постигнете безбедност со шифрирање на дискот, кои исто така имаат многу опции за конфигурација. Ќе разгледаме две од нив - dm-crypt и LUKS - како алтернативи на TrueCrypt за платформата Linux. Да почнеме со брз поглед на dm-crypt, а потоа и на LUKS.

Ова се основни информации за уред кој користи LUKS, што покажува каква шифрирање се користи, режим на шифрирање, алгоритам за хеширање и други криптографски податоци.

Ресурси

Чекор 01:Со оглед на Dm-crypt

Името на апликацијата dm-crypt е кратенка за уред мапер-крипта. Како што сугерира името, тој се заснова на мапирање на уреди, рамка на кернелот на Линукс дизајнирана да мапира блок-уреди на виртуелни блок уреди на повисоко ниво. Кога мапирате уреди, можете да користите неколку функции на кернелот, како што се dm-cache (создава хибридни волумени), dm-verity (дизајниран за проверка на интегритетот на блокот, дел од Chrome OS) и исто така многу популарниот Docker. За криптографски цели, dm-crypt ја користи рамката Crypto API на јадрото на Linux.

Значи, да резимираме, апликацијата dm-crypt е потсистем за шифрирање на ниво на јадрото што нуди транспарентно шифрирање на дискот: тоа значи дека датотеките се достапни веднаш по монтирањето на дискот - нема видливо доцнење за крајниот корисник. За да шифрирате користејќи dm-crypt, можете едноставно да наведете една од симетричните шифри, режимот на шифрирање, клучот (од која било валидна големина), режимот на IV генерација, а потоа да креирате нов блок уред во /dev. Сега, секое пишување на овој уред ќе биде шифрирано, а секое читање ќе биде дешифрирано. Можете да монтирате датотечен систем на овој уред како и обично, или можете да го користите уредот dm-crypt за да креирате други дизајни, како што се RAID или LVM волумен. Табелата за пребарување dm-crypt е дефинирана на следниов начин:

Овде, почетниот сектор е обично 0, големината е големината на уредот во секторите, а целното име е името што сакате да му го дадете на шифрираниот уред. Табелата за мапирање на цели се состои од следните делови:

[<#opt_params> ]

Чекор 02:Со оглед на LUKS

Како што веќе видовме во претходниот чекор, апликацијата dm-crypt може сама да ги шифрира/дешифрира податоците. Но, има неколку недостатоци - ако директно користите dm-crypt, нема да создава метаподатоци на дискот и ова може да биде сериозен проблем ако сакате да обезбедите компатибилност помеѓу различни дистрибуции на Linux. Дополнително, апликацијата dm-crypt не поддржува употреба на повеќе клучеви, додека во реални ситуации е многу важно да се користат повеќе клучеви.

Токму поради овие причини се роди техниката LUKS (Linux Unified Key Setup). LUKS е стандард за криптирање на хард дискот на Linux и стандардизацијата овозможува компатибилност помеѓу различни дистрибуции. Поддржана е и употребата на повеќе клучеви и фрази за пристап. Како дел од оваа стандардизација, заглавието LUKS се додава на шифрираните податоци и ова заглавие ги содржи сите информации потребни за конфигурација. Кога има такво заглавие со податоци, корисниците лесно можат да се префрлат на која било друга дистрибуција. Проектот dm-crypt во моментов препорачува користење на LUKS како претпочитан начин за конфигурирање на шифрирање на дискот. Ајде да погледнеме како да ја инсталирате алатката cryptsetup и како да ја користите за да креирате тома базирани на LUKS.

Чекор 03:Инсталација

Функционалноста на ниво на јадро што се користи во dm-crypt е веќе присутна во сите дистрибуции на Linux; ни треба само интерфејс за нив. Ќе ја користиме алатката cryptsetup, со која можете да креирате томови користејќи dm-crypt, стандардот LUKS, како и старата добра апликација TrueCrypt. За да инсталирате cryptsetup на Debian/Ubuntu дистрибуции, можете да ги користите следните команди:

$ sudo apt-get ажурирање $ sudo apt-get инсталира cryptsetup

Првата команда ги синхронизира датотеките со индекс на ракети со содржината на нивните складишта: добива информации за најновите верзии на сите достапни пакети. Втората команда ќе го преземе и инсталира пакетот cryptsetup на вашиот компјутер. Ако користите дистрибуција RHEL/Fedora/CentOS, можете да ја користите командата yum за да ја инсталирате алатката cryptsetup.

$ yum инсталирај cryptsetup-luks

Чекор 04:Креирање целна датотека

Сега кога алатката cryptsetup е успешно инсталирана, мора да создадеме целна датотека што ќе го складира контејнерот LUKS. Иако постојат многу начини да се создаде таква датотека, постојат голем број услови што мора да се исполнат при нејзиното креирање:

• Датотеката не треба да се состои од неколку делови лоцирани на различни места на дискот, односно, при неговото креирање, веднаш треба да се распредели доволно количество меморија.
• Целата датотека мора да биде пополнета со случајни податоци за никој да не може да каже каде ќе се наоѓаат податоците што се користат за шифрирање.

Командата dd може да ни помогне да создадеме датотека што ги задоволува горенаведените услови, иако ќе биде релативно бавна. Само користете го со специјална датотека на уред /dev/random наведена како влезна и целна датотека наведена како излез. Примерна команда изгледа вака:

$ dd ако =/dev/случајно од=/home/nitish/basefile bs=1M count=128

Како резултат на тоа, датотека наречена basefile со големина од 128 MB ќе се креира во директориумот /home/nitish. Сепак, имајте предвид дека оваа команда може да потрае доста долго за да се заврши; во системот што го користеше нашиот експерт, ова траеше еден час.

Чекор 05:Креирајте dm-crypt LUKS

Откако ќе ја креирате целната датотека, треба да креирате LUKS партиција во таа датотека. Овој дел служи како главен слој на кој е изградена целата шифрирање на податоците. Дополнително, заглавието на овој дел (заглавие на LUKS) ги содржи сите информации потребни за компатибилност со други уреди. За да креирате партиција LUKS, користете ја командата cryptsetup:

$ cryptsetup -y luksFormat /home/nitish/basefile

Откако ќе се согласите дека податоците во основната датотека ќе бидат трајно избришани, внесете ја лозинката и потоа потврдете ја, ќе се креира партицијата LUKS. Можете да го проверите ова со следнава команда за датотека:

$file basefile

Имајте предвид дека фразата што ја внесувате овде ќе се користи за дешифрирање на податоците. Многу е важно да го запомните ова и да го чувате на безбедно место, бидејќи ако го заборавите, речиси сигурно ќе ги изгубите сите податоци во шифрираната партиција.

Чекор 06:Креирајте и монтирајте го датотечен систем

Контејнерот LUKS што го создадовме во претходниот чекор сега е достапен како датотека. Во нашиот пример, ова е /home/nitish/basefile. Услужната алатка cryptsetup ви овозможува да го отворите контејнерот LUKS како независен уред. За да го направите ова, прво мапирајте ја датотеката на контејнерот со името на уредот и потоа монтирајте го. Командата за прикажување изгледа вака:

Откако успешно ќе ја внесете лозинката што ја креиравте во претходниот чекор, контејнерот LUKS ќе биде мапиран на volume1. Она што всушност се случува е дека датотеката се отвора како локален уред за враќање назад, така што остатокот од системот сега може да ја третира датотеката како да е вистински уред.

Чекор 07:Датотечен систем - продолжува

Датотеката со контејнерот LUKS сега е достапна на системот како обичен уред. Пред да можеме да го користиме за нормални операции, мора да го форматираме и да создадеме датотечен систем на него. Можете да користите кој било датотечен систем што е поддржан на вашиот систем. Во мојот пример, користевме ext4 бидејќи тоа е најновиот датотечен систем за Linux системи.

$ mkfs.ext4 -j /dev/mapper/volume1

Откако уредот е успешно форматиран, следниот чекор е да го монтирате. Прво треба да креирате точка за монтирање, по можност на /mnt (врз основа на здравиот разум).

$mkdir/mnt/датотеки

Сега ајде да монтираме:

За вкрстена проверка, користете ја командата df –h - ќе го видите уредот „/dev/mapper/volume1“ на крајот од листата на монтирани уреди. Може да се види дека заглавието на LUKS веќе зафаќа малку простор во уредот.

Благодарение на овој чекор, сега можете да го користите уредот LUKS со датотечен систем ext4. Само користете го овој уред за складирање датотеки - сè што ќе напишете на овој уред ќе биде шифрирано, а сè што ќе прочитате од него ќе биде дешифрирано и прикажано на вас.

Чекор 08:Користење на шифриран диск

Следевме неколку чекори за да го постигнеме овој резултат, а ако не ви е многу јасно како функционира сето тоа, најверојатно ќе се збуните околу тоа што треба да правите само еднаш (потребно за инсталација) и што треба да се прави редовно кога користејќи шифрирање. Да го разгледаме следното сценарио: успешно ги завршивте сите чекори погоре и потоа го исклучивте вашиот компјутер. Следниот ден, кога ќе го стартувате компјутерот, не можете да го пронајдете монтираниот уред - каде отиде? За да го сфатите сето ова, треба да имате на ум дека по стартувањето на системот, треба да го монтирате контејнерот LUKS и пред да го запрете компјутерот, да го откачите.

За да пристапите до вашата LUKS-датотека, направете го следново секогаш кога ќе го вклучите компјутерот, а потоа безбедно затворете ја датотеката пред да го исклучите компјутерот:

Отворете ја датотеката LUKS (т.е. /home/nitish/basefile) и внесете ја лозинката. Командата изгледа вака:

$ cryptsetup luksOpen /home/nitish/basefile volume1

Откако датотеката е отворена, монтирајте ја (ако не се монтира автоматски):

$ монтирајте /dev/mapper/volume1 /mnt/датотеки

Сега можете да го користите монтираниот уред како обичен диск и да читате или да пишувате податоци на него.

Откако ќе завршите, откачете го уредот на следниов начин:

$ износ /mnt/датотеки

По успешното демонтирање, затворете ја датотеката LUKS:

$cryptsetup luksЗатвори волумен1

Чекор 09:Резервна копија

Повеќето загуби на податоци складирани во контејнер LUKS се должат на оштетување на заглавието на LUKS или слотови за клучеви. Покрај тоа што дури и поради случајно препишување на заглавие во меморијата, заглавијата на LUKS може да се оштетат, во реални услови е можен и целосен дефект на хард дискот. Најдобар начин да се заштитите од вакви проблеми е да имате резервни копии. Ајде да видиме кои опции за резервна копија се достапни.

За да креирате резервна копија на датотеката за заглавие LUKS, наведете го параметарот luksHeaderBackup во командата:

$ sudo cryptsetup luksHeaderBackup /home/nitish/basefile --header-backup-file /home/nitish/backupfile

Или, ако сакате да вратите датотека од резервна копија, тогаш наведете го параметарот luksHeaderRestore во командата:

$ sudo cryptsetup luksHeaderRestore /home/nitish/basefile --header-backup-file /home/nitish/backupfile

За да ја проверите датотеката со заглавие на LUKS и да се уверите дека датотеката со која се занимавате одговара на вистинскиот уред LUKS, можете да го користите параметарот isLuks.

$ sudo cryptsetup -v isLuks /home/nitish/basefile

Веќе видовме како да направите резервна копија на заглавието на LUKS, но резервната копија на заглавието на LUKS всушност нема да заштити од целосен дефект на дискот, така што ќе треба да направите резервна копија на целата партиција користејќи ја следнава команда мачка:

$ cat /home/nitish/basefile > basefile.img

Чекор 10:Различни поставки

Постојат неколку други поставки кои може да бидат корисни кога се користи шифрирање LUKS со dm-crypt. Ајде да ги погледнеме.

За да го исфрлите заглавието на LUKS, командата cryptsetup ја има опцијата luksDump. Ќе ви овозможи да направите слика од заглавието на LUKS на уредот што го користите. Примерна команда изгледа вака:

$ cryptsetup luksDump /home/nitish/basefile

На почетокот на овој напис, споменавме дека LUKS поддржува повеќе клучеви. Ајде да го видиме ова во акција сега со додавање нов отвор за клуч ( Забелешка на преведувачот: отвор за клучеви - простор за клучеви):

$ cryptsetup luksAddKey --Слот за клуч 1 /home/nitish/basefile

Оваа команда додава клуч на отворот за клуч број 1, но само откако ќе ја внесете тековната лозинка (клучот е присутен во отворот за клуч 0). Има вкупно осум слотови за клучеви и можете да ги дешифрирате податоците користејќи кој било клуч. Ако го исфрлите заглавието откако ќе го додадете вториот клуч, ќе видите дека вториот отвор за копче е зафатен.

Можете да ги отстраните отворите за клучеви вака:

$ cryptsetup luksRemoveKey /home/nitish/basefile

Ова ќе го отстрани отворот за клуч со најголем број на слот. Внимавајте да не ги избришете сите слотови, инаку вашите податоци ќе бидат изгубени засекогаш.