Linuxハード暗号化のloop-aesまたはdm-crypt?
loop-aesとdm-cryptは両方ともLinuxハード暗号化のためにpartman-cryptoによって使用されますが、dm-cryptはカーネルへのパッチを必要とせず、よりサポートされています。 dm-cryptは最初のハードブロックでキーを保持しますが、loop-aesを改善するセキュリティの問題ですか?どちらをもっと提供しますか?
それは完全に正しいわけではありません。
Dm-cryptを単独で(LUKSなしで)使用する場合、キー情報はディスクに保存されず、パスフレーズを入力するたびにキーが再生成されます。これは、loop-aesと実際には何の違いもありません。
Dm-cryptをLUKSで使用すると、パスフレーズを使用してマスターキーが暗号化され、暗号化されたマスターキーがディスクのキースロットに書き込まれます。複数のキースロットがあるため、マスターキーは、それぞれが一意のパスフレーズを持つさまざまなユーザー用に暗号化できます。
マスターキーはディスクに書き込まれる前に暗号化されるため、それを使用するには、キーの暗号化を解除する必要があります。
個人的には、これを重大なリスクとは考えておらず、担当するすべてのシステムでLUKSとともにdm-cryptを使用しています。
cryptsetup FAQ -でdm-crypt(LUKSあり、なし)の詳細を読むことができます。