Криптографические файловые системы

Требуются для исключения несанкционированного доступа к постоянно востребованным данным на жестком диске. При желании можно организовать шифрование как корневого раздела (с созданием отдельного нешифрованного раздела под /boot), так и раздела подкачки. Однако, скорее всего, требуется шифрование только части данных в системе.

Ряд архивов, в т.ч. резервные копии, может оказаться удобнее хранить не на шифрованных дисках, а в зашифрованных архивах - см. Использование PGP. Если требуется защитить информацию, к которой нужен оперативный доступ, то можно или встраивать модули криптографии на уровень обращения к дисковым блокам данных, или поверх файловой системы, на уровень программного API работы с файлами.

Первый вариант - это системы OTFE (On-The-Fly disk Encryption), которые работают с блочными устройствами. В этом случае защищаются все данные, включая метаданные файловой системы. Для подключения дисков OTFE требуются права администратора системы, работать с подключёнными дисками могут прозрачно все пользователи системы.
В Linux для дисков OTFE рекомендуется использование crypto-loop в ядрах 2.4 (с возможными проблемами в безопасности) и dm-crypt в ядрах 2.6 (подключение дисков через механизм device mapper, с более простым и ясным кодом, чем crypto-loop). От crypto-loop рекомендуется уходить. Кроме того, для ядер 2.6 существует стандарт LUKS - Linux Unified Key Setup).

Crypto-loops [eng] - описание методики создания и использования криптографических файловых систем.

Скорость доступа к зашифрованным разделам, естественно, ниже, чем к обычным. Сравнение производительности ряда алгоритмов шифрования можно посмотреть здесь.

Для организации и работы с криптографическими файловыми системами в ALTLinux:

• Работа с дисками dm-crypt
• Работа с дисками LUKS ?

Ссылки

• LUKS - расширенная версия dm-crypt, с поддерживающей её cryptsetup.
  • LUKS Frequently Asked Questions
  • "How to Resize a LUKS Encrypted File System" - изменение (увеличение и уменьшение) размеров файловой системы EXT3, размещённой на диске LUKS на разделе LVM.
  • Encrypted Device - создание диска с помощью cryptsetup
  • Encrypted Device Using LUKS - создание диска с помощью cryptsetup-LUKS.
  • "How to set up an encrypted filesystem in several easy steps" - описание работы с LUKS для Debian.
  • "How To Migrate to a full encrypted LVM system" - краткое руководство по установке системы на диск LUKS.
  • "How to encrypt a diskdrive in (X)Ubuntu Feisty with dm-crypt and LUKS"
  • AutoCrypt - привязка LUKS к Debian.
  • "Encrypted home partition in Linux" - описание защиты домашних каталогов пользователей через LUKS и pam_mount.
  • "HOWTO: Automatically Unlock LUKS Encrypted Drives With A Keyfile"
  • Архив рассылки dm-crypt на Gmane.
  • LUKS-tools - набор утилит для работы связки LUKS и HAL.
  • LSD mount utilities - набор скриптов для создания защищенных разделов и их (полу)автоматического подключения из fstab.
  • "Unlocking a LUKS encrypted root partition via ssh" - через включение в initrd средств настройки сети, а также dropbear и busybox.
  • cryptmount GPL - утилита для работы с дисками dm-crypt, альтернатива cryptsetup.
  • Существуют специализированные дистрибутивы для создания NAS с поддержкой LUKS.
  • "Ubuntu Linux Disk Encryption Benchmarks" - тестирование производительности настольного ПК при использовании шифрования файловой системы.
  • "ASUS Eee PC / Intel Atom: Disk Encryption Performance" - тестирование производительности субноутбука при использовании шифрования файловой системы.

• TrueCrypt - бесплатная реализация криптографических файловых систем для Windows/Linux. К использованию не рекомендуется по причине проблемной лицензии.
  • "Filesystem encryption in mixed environments with TrueCrypt" - примеры использования TrueCrypt в Linux.
  • "Using truecrypt-intaller to help install Truecrypt for Debian" - установка в Debian и использование TrueCrypt.
  • "TrueCrypt Tutorial: Truly Portable Data Encryption" - описание возможностей TrueCrypt и использования его в Linux.

• FreeOTFE GPL - реализация криптографической файловой системы, совместимой форматом с LUKS.
• "Installing Debian onto USB flash media with everything encrypted"
• "Secure Deletion of Data from Magnetic and Solid-State Memory" ,Peter Gutmann - большая статья о том, как можно восстановить информацию на магнитных носителях и в ОЗУ, и как этому можно помешать.
• Wipe, srm и подборка на wiretaped.net - утилиты для более-менее полного удаления информации с магнитных носителей.

Вторым вариантом является использование файловых систем пользовательского уровня. В этом случае уровень шифрования лежит над обычной файловой системой, что позволяет, например, проводить резервное копирование защищённых данных без необходимости ввода паролей и пр. К ним относятся:

• EncFS - криптографическая файловая система, работающая через FUSE и настраиваемая не на общесистемном уровне, а для отдельного пользователя. EncFS работает на уровне отдельных файлов, а не целиком блочных устройств. При работе с EncFS после ввода правильного ключа доступ к файлам обеспечивается только для конкретного пользователя.

• • "CLI Magic: EncFS"
  • "Creating A Safe Directory With PAM And EncFS"
  • "HOWTO: EncFS Encrypted Filesystem in Ubuntu and Fedora GNU/Linux" - установка и использование EncFS.
  • Cryptkeeper GPL - графическая утилита для управления разделами EncFS.

• eCryptFS GPL - файловая система типа gnupgfs, ключи к файлу хранятся в самом файле.

Ссылки

• "Locking up Linux: Creating a Cryptobook" - обзор возможностей и сравнение EncFS, CryptoFS и LUKS.
• "How to hide an entire filesystem" - описание различных способов организации защищенной файловой системы в Linux/FreeBSD.
• Mandos GPL - клиент-серверная система для автоматического получения клиентами ключей для файловых систем. Основная идея - во время загрузки клиент обращается к серверу за ключом и получает его, с авторизацией и защитой передачи через TLS. Сервер отслеживает состояние клиентов, и в случае продолжительного отключения клиента отказывает ему в автоматическом получении ключа.

Дата создания: 2006-05-24 15:11:51 (Фетисов Н. А. (naf))
Последнее изменение: 2010-09-11 13:09:16 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 26  Все версии