LUKS a hlavicka, vlastni klic

zdravim,

mam nekolik dotazu k pouziti LUKS.

- pokud tomu spravne rozumim tak pri normalnim pouziti se luksFormat pri formatovani zepta na passphrase ze ktere potom nejakym zpusobem vytvori samotny sifrovaci klic ktery je ulozen v hlavicce (nejak sifrovan, nenasel jsem jednoznacnou odpoved jestli je to slabe misto)
- hlavicku je mozne pri formatovani oddelit pomoci --header ./lukshdr a nasledne ji ulozit nekde jinde, klic je v tomto pripade opet generovan z passphrase na kterou se luksFormat zepta.
- vysledkem oddeleni hlavicky by mely byt sifrovane data u kterych nelze jednoznacne rict jestli jsou to sifrovane data nebo ne

- take je mozne pri sifrovani dat pouzit vlastni klic, napr. data z /dev/urandom, potom to bude vypadat takto

cryptsetup luksFormat encrypted.img mujklic.keyfile

v tomto pripade se luksFormat nebude ptat na passphrase a pro sifrovani pouzije poskytnuty soubor ktery ovsem opet nejak zapracuje do hlavicky(??)

luksDump u odpojeneho zasifrovaneho oddilu s vlastnim klicem rekne toto:

Key Slot 0: ENABLED
        Iterations:             203026
        Salt:                   bf 50 b9 ee a3 7d f8 16 35 bd ad 42 86 d5 af 40 
                                c8 38 62 8c a6 7d 7d 77 0d a4 7f e3 4f 17 ac e9 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Key Slot 0: Enabled takze si to tam neco ulozilo.
Tady uz jsem s moudrosti v koncich protoze nevim co a proc presne v te hlavicce bude, jestli je mozne ji i v tomto pripade oddelit.

Nejdulezitejsi dotaz - Je mozne provozovat LUKS oddil uplne bez hlavicky, s vlastnim keyfile? Diky.

- pokud tomu spravne rozumim tak pri normalnim pouziti se luksFormat pri formatovani zepta na passphrase ze ktere potom nejakym zpusobem vytvori samotny sifrovaci klic ktery je ulozen v hlavicce (nejak sifrovan, nenasel jsem jednoznacnou odpoved jestli je to slabe misto)

Ne. Klíč je vygenerován náhodný a následně je passphrasí zašifrován. Když použiješ keyfile, tak udělá úplně totéž, akorát ho zašifruje keyfilem.

Je mozne provozovat LUKS oddil uplne bez hlavicky, s vlastnim keyfile?

Ne. Na to musíš použít surový cryptsetup/dm-crypt/loop-aes. Osobně bych ale použil něco s formátem truecryptu (třeba tcplay). To sice má hlavičku, ale je celá zašifrovaná, takže u oddílu nejde určit, co to je.

18.10.2016 19:11 Leonard
Rozbalit Rozbalit vše Re: LUKS a hlavicka, vlastni klic

Ok diky. Toto ma tedy zrejmou nevyhodu ze pokud ztratim hlavicku tak uz data z nikdy nedostanu zpet, nebo je nejaka moznost?

Ne. Na to musíš použít surový cryptsetup/dm-crypt/loop-aes. Osobně bych ale použil něco s formátem truecryptu (třeba tcplay). To sice má hlavičku, ale je celá zašifrovaná, takže u oddílu nejde určit, co to je.

nemas k te prvni variante (nebo i ke druhe) nejaky odkaz ke studiu?

18.10.2016 21:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS a hlavicka, vlastni klic

Ok diky. Toto ma tedy zrejmou nevyhodu ze pokud ztratim hlavicku tak uz data z nikdy nedostanu zpet, nebo je nejaka moznost?

Ano, takhle to funguje. Proto je potřeba ji dobře zálohovat.

tcplay po spuštění vypíše help ;)

18.10.2016 21:57 Leonard
Rozbalit Rozbalit vše Re: LUKS a hlavicka, vlastni klic

Beru na vedomi.

S tim truecryptem jsi me ale naboural vsechno moje mysleni :-)

Dotaz: LUKS a hlavicka, vlastni klic

Odpovědi