dm-暗号化ディメンションの使用をブロックするcrypt / cryptsetup
私はcryptsetupを利用してdm-cryptに取り組んでいます。ファイルの暗号化に固定ブロックディメンションを使用しているかどうかを理解したいと思います。
詳しく説明します。LUKSエンベロープを作成し、luksFormatでフォーマットしてから、開いてファイルシステムにマウントしました。
次に、私は通常、その暗号化されたフォルダーにファイルを書き込みます。私が8 Kbファイルを書く場合、dm-cryptが固定次元のブロックでそれを暗号化する可能性があり、このブロック次元を変更する方法がある場合に理解したいですか?
|-----------------------------------------------|
|+ 8Kb +|
|-----------------------------------------------|
| b1 | b2 | b3 | | | | bn |
| | | | | | | |
--------------------------------------------------
暗号で使用されるブロックサイズについて話しているのですか? Cryptsetupは、多くの場合16バイトのブロックサイズのブロック暗号を使用します。暗号を変更すると、ブロックサイズが変更される可能性があります。使用可能な暗号と詳細については/proc/cryptoを、およびman cryptsetupを参照してください。
Cryptsetupのブロックサイズは512バイトに固定されていますが、これから少し説明します [〜#〜] FAQ [〜#〜] :
2.18 4kセクターに懸念はありますか?
Dm-crypt自体からではありません。暗号化は512Bブロックで行われますが、パーティションとファイルシステムが正しく配置され、ファイルシステムがブロックサイズとして4kiBの倍数を使用する場合、dm-cryptレイヤーは一度に8 x 512B = 4096Bを処理します。オーバーヘッドはごくわずかです。 LUKSはデータをオフセットに配置します。これはデフォルトで2MiBであり、アライメントを壊すことはありません。詳細については、このFAQの項目6.12も参照してください。パーティションまたはファイルシステムの位置がずれていると、dm-cryptによって影響が悪化する可能性があることに注意してください。
5.16でも言及されています:
XTSモードと大きなブロックには潜在的なセキュリティの問題があります。 LUKSとdm-cryptは常に512Bブロックを使用し、この問題は当てはまりません。
このクローズされたcryptsetupの問題(#150)にも興味があるかもしれません より大きな暗号化セクター(ブロック)サイズのdm-cryptサポートを追加 :
Chrivによるコメント... 2013-11-07 11:32:05:
私はこれに非常に興味があります。結局のところ、オンボードの暗号アクセラレータを備えた多くの組み込み型システムがあり、それらは、動作する小さなブロックが与えられたときに適切に機能しません。例としては、最近非常に多くのホームNASに見られるmv_cesaがあります(少なくとも、すべてのorion/kirkwoodボード。これには、SynologyおよびQNaps製品のほとんどが含まれます)
Milan Broz @mbrozが5か月前にコメントしました-所有者:
セクターサイズオプションはカーネル4.12にありますが、LUKS2でのみ(オプションで)サポートされます。