dm-crypt

O dm-crypt é um subsistema de criptografia de disco transparente, nas versões 2.6 e posteriores do núcleo do Linux e no DragonFly BSD. Ele faz parte da infraestrutura do mapeador de dispositivos e usa rotinas criptográficas da API Crypto do núcleo. Ao contrário de seu antecessor cryptoloop, o dm-crypt foi projetado para suportar modos avançados de operação, como XTS, LRW e ESSIV (veja a teoria de criptografia de disco), para evitar ataques de marca d'água.^[1] Além disso, o dm-crypt também resolve alguns problemas de confiabilidade do cryptoloop.^[2]

O dm-crypt é implementado como um alvo do mapeador de dispositivos e pode ser empilhado sobre outras transformações do mapeador de dispositivos. Ele pode, assim, criptografar discos inteiros (incluindo mídia removível), partições, volumes RAID de software, volumes lógicos e arquivos. Ele aparece como um dispositivo de bloco, que pode ser usado para fazer backup de sistemas de arquivos, swap ou como um volume físico de LVM.

Algumas distribuições Linux suportam o uso de dm-crypt no sistema de arquivos raiz. Essas distribuições usam initrd para solicitar ao usuário que insira uma senha no console ou insira um cartão inteligente antes do processo normal de inicialização.

Frontends[editar | editar código-fonte]

O alvo do mapeador de dispositivos dm-crypt reside inteiramente no espaço do núcleo, e está preocupado apenas com a criptografia do dispositivo de bloco - ele não interpreta nenhum dado em si. Ele depende de front-ends do espaço do usuário para criar e ativar volumes criptografados e gerenciar a autenticação. Pelo menos dois frontends estão atualmente disponíveis:o cryptsetup e o cryptmount.

cryptsetup[editar | editar código-fonte]

A interface da linha de comando cryptsetup, por padrão, não grava nenhum cabeçalho no volume criptografado e, portanto, fornece apenas o essencial: as configurações de criptografia devem ser fornecidas toda vez que o disco for montado (embora normalmente empregado com scripts automatizados) e apenas uma chave pode ser usada por volume. A chave de criptografia simétrica é derivada diretamente da frase secreta fornecida.

Por não ter um "sal", o uso de cryptsetup é menos seguro neste modo do que no caso do Linux Unified Key Setup (LUKS).^[3] No entanto, a simplicidade do cryptsetup torna-o útil quando combinado com software de terceiros, por exemplo, com autenticação de cartão inteligente.

O cryptsetup também fornece comandos para lidar com o formato de disco do LUKS. Esse formato fornece recursos adicionais, como gerenciamento de chaves e alongamento de chaves (usando o PBKDF2), e lembra a configuração do volume criptografado nas reinicializações.^[4]

cryptmount[editar | editar código-fonte]

A interface cryptmount é uma alternativa à ferramenta "cryptsetup" que permite que qualquer usuário monte e desmonte um sistema de arquivos dm-crypt quando necessário, sem precisar de privilégios de superusuário após o dispositivo ter sido configurado por um superusuário.

Referências

↑ Clemens Fruhwirth (18 de julho de 2005). «New Methods in Hard Disk Encryption» (PDF). Vienna University of Technology. Consultado em 20 de abril de 2007
↑ Mike Peters (8 de junho de 2004). «Encrypting partitions using dm-crypt and the 2.6 series kernel». Consultado em 20 de fevereiro de 2012
↑ «cryptsetup FAQ»
↑ Clemens Fruhwirth (15 de julho de 2004). «TKS1 – An anti-forensic, two level, and iterated key setup scheme» (PDF). draft. Consultado em 12 de dezembro de 2006

Ligações externas[editar | editar código-fonte]

Official Sítio oficial , Sítio oficial e Sítio oficial websites
Tudo sobre o dm-crypt e o LUKS em uma página (em archive.org) – uma página cobrindo o dm-crypt/LUKS, começando com a teoria e terminando com muitos exemplos práticos sobre seu uso.

[new-methods-1] Clemens Fruhwirth (18 de julho de 2005). «New Methods in Hard Disk Encryption» (PDF). Vienna University of Technology. Consultado em 20 de abril de 2007

[2] Mike Peters (8 de junho de 2004). «Encrypting partitions using dm-crypt and the 2.6 series kernel». Consultado em 20 de fevereiro de 2012

[3] «cryptsetup FAQ»

[tks1-4] Clemens Fruhwirth (15 de julho de 2004). «TKS1 – An anti-forensic, two level, and iterated key setup scheme» (PDF). draft. Consultado em 12 de dezembro de 2006

[1]

[2]

[3]

[4]

v d e GNU/Linux
GNU/Linux	Adoção Comparação com Windows Críticas História Núcleo arquiteturas compatíveis linux kernel mailing list Lei de Linus Fundação Linux Tux Linux-libre Processo de arranque no Linux Linux kernel oops
Distribuições	Distribuição comparação lista Live CD Live USB Mini Linux Formatos de pacotes
Projeto GNU	Free Software Foundation GNU Controvérsia quanto à nomenclatura GNU/Linux Pacotes GNU Projeto GNU
Aplicações	Desktop Dispositivos Embarcado Jogos LAMP Thin client
Pessoas	Alan Cox Allison Randal Andrew Morton Ari Lemmke Benjamin Mako Hill Bradley M. Kuhn Bruce Perens Daniel Robbins David S. Miller Greg Kroah-Hartman Hans Reiser Ian Murdock Jon 'Mad Dog' Hall Jono Bacon Karen Sandler Linus Torvalds Mark Shuttleworth Matt Zimmerman Pamela Jones Patrick Volkerding Richard Stallman Theodore Ts'o William John Sullivan
Mídia	Free Software Magazine Guia do Hardware Linux Format Linux Gazette Linux Journal Linux Magazine Linux Outlaws Linux.com Linux-Magazin LinuxUser LugRadio LWN.net O3 Magazine Open Source For You Phoronix Ubuntu User
Móvel	Access Linux Platform Android LiMo Foundation LiMo Platform Linux Phone Standards Forum Maemo MeeGo Mobilinux Moblin Open Handset Alliance Openmoko palm webOS Ubuntu Mobile
Outros tópicos	Linux Standard Base Revolution OS Debate entre Tanenbaum e Torvalds The Code