ฉันพยายามตั้งค่าโวลุ่มที่เข้ารหัสเพื่อจัดเก็บไฟล์อย่างปลอดภัย สิ่งนี้ทำในกระเป๋าของ NextThingCo แต่ระบบปฏิบัติการนั้นใช้เดเบียนดังนั้นฉันเดาว่าฉันจะลองที่นี่ก่อนเพราะคำถามของฉันเกี่ยวข้องกับ dmcrypt มากกว่าแพลตฟอร์มตัวเอง (หรือฉันคิดว่า)
สูตรที่ฉันสร้างขึ้นจนถึงตอนนี้มีดังต่อไปนี้ (อาจไม่ถูกต้องหรือซับซ้อนเกินไป):
- สร้างไฟล์
- ตั้งค่าเป็นอุปกรณ์วนซ้ำ
- ทำเซพอัปสำหรับการจัดรูปแบบและเปิด "abc" เป็นรหัสผ่านที่ป้อนผ่าน stdin (ข้อสันนิษฐานนี้ถูกต้องหรือไม่)
- ทำระบบไฟล์
- ภูเขา
ดังนั้นดูเหมือนว่านี้:
sudo dd if=/dev/urandom of=./encrypted.volume bs=512K count=200
sudo losetup /dev/loop0 ./encrypted.volume
echo "abc" | sudo cryptsetup luksFormat /dev/loop0
echo "abc" | sudo cryptsetup open /dev/loop0 vault
sudo mkfs /dev/mapper/vault
sudo mount /dev/mapper/vault /mnt/vault
ตอนนี้ทั้งหมดนี้ดูเหมือนว่าจะทำงานได้ดีและสวยงามนั่นคือจนกว่าฉันจะใช้พารามิเตอร์ --debug (ฉันต้องการลองพารามิเตอร์อื่น ๆ เช่นขนาดคีย์) และฉันก็ตระหนักถึงข้อความต่อไปนี้:
# cryptsetup 1.7.0 processing "cryptsetup -v --debug --cipher aes-xts-plain64 --key-size
512 --hash sha512 --iter-time 5000 --timeout 10 --use-random luksFormat /dev/loop0"
# Running command luksFormat.
...
# Userspace crypto wrapper cannot use aes-xts-plain64 (-95).
...
device-mapper: remove ioctl on temporary-cryptsetup-6661 failed: Device or resource busy <------ appears when I change the --key-size to 512 i.s.o. default 256
...
device-mapper: remove ioctl on temporary-cryptsetup-6698 failed: Device or resource busy
ฉันพยายามรันเกณฑ์มาตรฐานด้วย:
chip@chip:~/data/run$ sudo cryptsetup --debug benchmark
[sudo] password for chip:
# cryptsetup 1.7.0 processing "cryptsetup --debug benchmark"
# Running command benchmark.
# Installing SIGINT/SIGTERM handler.
# Unblocking interruption on signal.
# Tests are approximate using memory only (no storage IO).
# Crypto backend (gcrypt 1.6.4) initialized in cryptsetup library version 1.7.0.
# Detected kernel Linux 4.4.13-ntc-mlc armv7l.
# KDF pbkdf2, hash sha1: 59041 iterations per second (256-bits key).
PBKDF2-sha1 59041 iterations per second for 256-bit key
# KDF pbkdf2, hash sha256: 79437 iterations per second (256-bits key).
PBKDF2-sha256 79437 iterations per second for 256-bit key
# KDF pbkdf2, hash sha512: 40705 iterations per second (256-bits key).
PBKDF2-sha512 40705 iterations per second for 256-bit key
# KDF pbkdf2, hash ripemd160: 50412 iterations per second (256-bits key).
PBKDF2-ripemd160 50412 iterations per second for 256-bit key
# KDF pbkdf2, hash whirlpool: 7481 iterations per second (256-bits key).
PBKDF2-whirlpool 7481 iterations per second for 256-bit key
# Cannot initialise cipher aes, mode cbc.
Required kernel crypto interface not available.
Command failed with code 95: Operation not supported
นี่คือข้อมูลเพิ่มเติมบางอย่างเกี่ยวกับแพลตฟอร์มและระบบปฏิบัติการ:
chip@chip:~/data/run$ uname -r
4.4.13-ntc-mlc
chip@chip:~/data/run$ cat /boot/config-4.4.13-ntc-mlc | grep CRYPTO_USER_API_SKCIPHER
# CONFIG_CRYPTO_USER_API_SKCIPHER is not set
ฉันเข้าใจว่าฉันจะต้องคอมไพล์เคอร์เนลใหม่หลังจากฉันตั้งค่า CONFIG_CRYPTO_USER_API_SKCIPHER เพื่อให้ userspace crypto API พร้อมใช้งาน ฉันไม่คิดว่าจะมีวิธีการที่จะมีหรือไม่
ฉัน LuksDump ข้อมูลเกี่ยวกับไฟล์จัดเก็บข้อมูล:
chip@chip:~/data/run$ sudo cryptsetup luksDump ./encrypted.volume
LUKS header information for ./encrypted.volume
Version: 1
Cipher name: aes <------- ???
Cipher mode: xts-plain64 <------- ???
Hash spec: sha256
Payload offset: 4096
MK bits: 256
MK digest: ee f8 8d ad 9b 67 d9 7d cb 20 fe a9 25 a3 8b a5 c2 65 56 dd
MK salt: 38 74 e8 9d 77 6a 93 b5 03 41 cb 3e ce 79 b4 00
55 f3 98 8f c5 a7 14 05 25 9c 4e 91 68 1a 53 37
MK iterations: 18500
UUID: 36912ea4-9adb-4d1f-b9f2-f6a09a258833
Key Slot 0: ENABLED
Iterations: 150587
Salt: e8 4f f3 c1 07 1a 2b 2d d2 d9 f4 55 0f b3 13 28
2a 69 06 aa a0 94 4a 05 5d 5f e9 28 9b 91 39 94
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
อย่างไรก็ตามฉันมีคำถามสองสามข้อเกี่ยวกับสถานการณ์ปัจจุบัน:
- พาร์ติชันเข้ารหัสลับจริง ๆ หรือไม่ ถ้าเป็นเช่นนั้นโครงการไหน?
- วิธีตรวจสอบในบรรทัดคำสั่ง? พยายามที่จะถ่ายโอนข้อมูลเกี่ยวกับพาร์ทิชันบอกฉันว่า "มีส่วนหัว LUKS" แต่นั่นไม่ได้บอกฉันว่าข้อมูลถูกเข้ารหัสหรือไม่
- วิธีแก้ไขสถานการณ์ '' ทรัพยากรไม่ว่าง '' ซึ่งจะให้ฉันใช้ขนาดคีย์ 512 ได้อย่างไร
ขอบคุณสำหรับการอ่านทุกอย่างที่นี่ พอยน์เตอร์ใด ๆ จะได้รับการชื่นชมอย่างมาก
แก้ไข (08/12/17): - บรรทัดสุดท้ายของ
crypsetup --help
:
<name> is the device to create under /dev/mapper
<device> is the encrypted device
<key slot> is the LUKS key slot number to modify
<key file> optional key file for the new key for luksAddKey action
Default compiled-in key and passphrase parameters:
Maximum keyfile size: 8192kB, Maximum interactive passphrase length 512 (characters)
Default PBKDF2 iteration time for LUKS: 2000 (ms)
Default compiled-in device cipher parameters:
loop-AES: aes, Key 256 bits
plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160
LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha256, RNG: /dev/urandom
- ผลลัพธ์ของ / proc / crypto: https://gist.github.com/anonymous/1dc9fd345e631fd9fc59c88120c6f8a5
Anyway, from luksDump the ./encrypted.volume file looks encrypted with aes in mode xts-plain64 (aes-xts-plain64). At least anything written to it would be encrypted, it'll be untouched if you haven't luksOpen-ed and written to it.
คุณหมายถึงที่เข้ารหัสลับ. เข้ารหัสลับจริง ๆ แล้วแม้ว่าจะไม่มี API ผู้ใช้งานหรือไม่ ฉันกังวลว่าส่วนหัวของ Luks พูดอย่างหนึ่ง แต่การเข้าถึงข้อมูลกำลังทำอย่างอื่น เช่นข้อความธรรมดา r / w