dm-crypt

dm-crypt

dm-crypt ist ein Kryptographie-Modul des Device Mappers im Linux-Kernel. Man kann mit dm-crypt Daten mit verschiedenen Algorithmen ver- und entschlüsseln, dies kann auf beliebige Gerätedateien (englisch: Devices) angewandt werden, in den meisten Fällen Partitionen oder Festplatten. Es wird hier also eine zusätzliche Schicht zwischen (verschlüsselten) (Roh-)Daten und dem Dateisystem aufgebaut. Für den Benutzer geschieht dies vollkommen transparent. dm-crypt eignet sich so zur Festplattenverschlüsselung (Partitionen oder ganze Festplatten). dm-crypt unterstützt eine Vielzahl von Verschlüsselungsalgorithmen, da es die Crypto API des Linuxkernels nutzt.

Einen anderen Ansatz verfolgt die (transparente) Dateiverschlüsselung, bei der das Dateisystem für die Ver- und Entschlüsselung zuständig ist.

Inhaltsverzeichnis

Anwendung

  • Festplattenverschlüsselung zum Schutz sensibler Daten gegen Diebstahl (insbesondere für mobile Geräte wie Notebooks).
  • Schutz gegen Datenwiederherstellung nach Verkauf oder Entsorgung von Datenträgern. Hier wären sonst teils aufwändige Verfahren nötig, um die Daten sicher zu löschen, etwa das Überschreiben oder die physische Zerstörung des Datenträgers.

Erweiterung mit LUKS

Eine gängige Erweiterung ist LUKS („Linux Unified Key Setup“), welche die verschlüsselten Daten um einen Header erweitert, in dem Metadaten sowie bis zu acht Schlüssel gespeichert werden. Vorteile gegenüber „reinem“ dm-crypt sind: ein standardisiertes Format, Informationen über die Art der Verschlüsselung im Header, Vergabe von bis zu acht Schlüsseln sowie die Änderung und Löschung von Schlüsseln, ohne Umschreiben der verschlüsselten Daten.

Da der Header, den LUKS in den Container schreibt, eine Klartext-Kennung, sowie den verwendeten Verschlüsselungs- und Hash-Algorithmus und die Größe des Masterschlüssels enthält, ist eine automatische Erkennung und einfache Verwaltung von LUKS-Containern möglich. Es macht die Verschlüsselung aber auch gegenüber Dritten und Angriffsprogrammen erkennbar. Damit wird eine glaubhafte Abstreitbarkeit schwierig bis unmöglich. Der LUKS-Header incl. Schlüsseldaten verkleinert außerdem den nutzbaren Speicherplatz auf dem Medium um 1028 KiB (Standardeinstellung). Im Gegensatz zu verschiedenen Dateisystemen, wie z.B. der Superblock bei ext2, werden diese für den Betrieb des Datenträgers wichtigen Daten nicht auf dem Medium verteilt repliziert gespeichert. Wenn sie überschrieben werden oder aufgrund eines Hardwaredefektes nicht mehr ausgelesen werden können, sind die Nutzdaten auf dem Medium nicht mehr zu entschlüsseln.

On-Disk-Format

Eine mit LUKS verschlüsselte Festplattenpartition besitzt folgenden Header (Mehrbytewerte sind dabei im Big-Endian-Format abgespeichert, Klartext-Bezeichner sind dabei mit Nullbytes aufgefüllt, wenn sie kürzer sind, als Speicherplatz vorhanden ist):

LUKS-Header[1]
Offset Datentyp Inhalt
000 000hex char[6] Magische Zahl {'L', 'U', 'K', 'S', 0xBA, 0xBE }
006 006hex uint16_t LUKS-Version (derzeit stets 0x0001)
008 008hex char[32] Name des Chiffrieralgorithmus (z.B. "twofish" oder "aes")
040 028hex char[32] Name des Chiffriermodus (z.B. "cbc-essiv:sha256")
072 048hex char[32] Name der Hashfunktion (z.B. "sha1" oder "ripemd160")
104 068hex uint32_t Offset zu den Daten (in Sektoren)
108 06Chex uint32_t Anzahl der Schlüsselbytes
112 070hex char[20] Prüfsumme des PBKDF2-Masterschlüssels
132 084hex char[32] Salt des PBKDF2-Masterschlüssels
164 0A4hex uint32_t Anzahl der PBKDF2-Iterationen (Default: 10)
168 0A8hex char[40] UUID der Partition (im üblichen Hex-Format, z.B. "504c9fa7-d080-4acf-a829-73227b48fb89")
208 0D0hex (48 Bytes) Keyslot 1 (siehe unten)
...
544 220hex (48 Bytes) Keyslot 8 (siehe unten)
592 Bytes total

Jeder der acht Keyslots besitzt dabei folgendes Format:

Format eines LUKS-Keyslots
Offset Datentyp Inhalt
00 uint32_t Status: Aktiv=0x00AC71F3; Inaktiv=0x0000DEAD
04 uint32_t Anzahl der Iterationen für PBKDF2
08 char[32] Salt für PBKDF2
40 uint32_t Startsektor für Schlüsseldaten
44 uint32_t Anzahl der Anti-Forensic-Stripes (Default: 4000)
48 Bytes total

Vergleich von LUKS gegenüber einfachem dm-crypt

Die nachfolgende Auflistung erhebt keinen Anspruch auf Vollständigkeit. Je nach Einsatzzweck variiert außerdem die Relevanz der einzelnen Eigenschaften, so dass diese Auflistung keine allgemein gültige Wertung von LUKS ermöglicht.

Klartextheader
Pro.svg ermöglicht Skripte zum automatischen Einbinden des Datencontainers
Contra.png verhindert eine plausible Abstreitbarkeit
Contra.png benötigt Platz auf dem Datenträger; damit ist keine sektorweise 1:1-Kopie in einen verschlüsselten LUKS-Container auf ein Medium gleicher Größe möglich.
Contra.png Bei Fehlern im Header-Sektor ist es nahezu unmöglich, die übrigen Daten zu restaurieren, selbst wenn diese noch lesbar sind.
Schlüssel-Setup
Pro.svg Salts für Schlüssel und Masterschlüssel erschweren Angriffe mit vorberechneten Hashes
Pro.svg PBKDF2 erfordert aufgrund der Iterationen erhöhten Rechenaufwand, was Wörterbuchangriffe erheblich verlangsamt
Contra.png PBKDF2 führt auf langsamen Rechnern zu einer spürbaren Verzögerung beim Einbinden des Containers
Keyslots
Pro.svg ermöglichen mehrere Passwörter/Passphrases pro Datencontainer, die zudem einfach geändert werden können
Contra.png benötigen Platz auf dem Datenträger; damit ist keine sektorweise 1:1-Kopie in verschlüsselte LUKS-Container (z. B. für Backups) möglich
Contra.png allein das Vorhandensein mehrerer Keyslots und Lücken in der Keyslotliste offenbaren Details über die Nutzung des Datencontainers.

Nachteile

Datendurchsatz

Bedingt durch den zusätzlichen Rechenaufwand der Verschlüsselungsalgorithmen entstehen Performanceeinbußen, der Datendurchsatz sinkt gegenüber unverschlüsselten Datenträgern. Eine Verbesserung kann durch schnellere Prozessoren, Mehrkernprozessoren, der Optimierung der Algorithmen auf die jeweilige Architektur oder einer Implementierung als Hardwareverschlüsselung erreicht werden.

Kryptographische Angreifbarkeit

Auf mit dm-crypt verschlüsselte Daten sind teilweise kryptographische Angriffe denkbar:[2]

Alternativen und Portierungen

Mit FreeOTFE existiert eine zu LUKS kompatible Implementierung für Microsoft Windows.

Ein vom Funktionsumfang annähernd vergleichbares alternatives Produkt für Windows und Linux ist TrueCrypt. DiskCryptor (für Microsoft Windows) nutzt ein anderes Format, aber ist dafür Freie Software.

Literatur

  • Clemens Fruhwirth, Markus Schuster: Geheime Niederschrift. Festplattenverschlüsselung mit DM-Crypt und Cryptsetup-LUKS: Technik und Anwendung In: Linux-Magazin 08/2005. Linux New Media AG, S. 28-36, ISSN 1432-640X, online verfügbar
  • Frank Becker und Konrad Rosenbaum: „Plattenschlüssel – Crypto-Dateisysteme auf Linux“, Vortrag auf Chemnitzer Linuxtag 2005, online verfügbar (PDF, 400 kB)
  • Christian Ney, Peter Gutmann: Löchriger Käse. Verschlüsselte Filesysteme unter Linux In: Linux-Magazin 10/2006. Linux New Media AG, S. 36-44, ISSN 1432-640X, online verfügbar

Weblinks

Einzelnachweise

  1. http://cryptsetup.googlecode.com/svn-history/r42/wiki/LUKS-standard/on-disk-format.pdf
  2. Linux hard disk encryption settings, englisch

Wikimedia Foundation.

Игры ⚽ Поможем написать реферат

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Crypt of Civilization — interior contents The Crypt of Civilization is a sealed airtight chamber located at Oglethorpe University in Atlanta, Georgia. The crypt consists of preserved artifacts scheduled to be opened in the year AD 8113.[1] …   Wikipedia

  • Crypt Lake Trail — Crypt Falls The Crypt Lake Trail is one of the premium hikes in Waterton Lakes National Park in Alberta, Canada. It is accessed by a dedicated ferry service operating from the Waterton Park Townsite. The first part of the trail offers the choice… …   Wikipedia

  • Crypt of Medea — Box art Developer(s) Sir Tech Publisher(s) Sir …   Wikipedia

  • Crypt — • The word originally meant a hidden place, natural or artificial, suitable for the concealment of persons or things Catholic Encyclopedia. Kevin Knight. 2006. Crypt     Crypt      …   Catholic encyclopedia

  • crypt — crypt·al; crypt·analysis; crypt·analyst; crypt·analytic; crypt·analytics; crypt·analyze; crypt·ed; crypt·esthesia; crypt; de·crypt; en·crypt; crypt·aesthesia; crypt·esthetic; de·crypt·ment; …   English syllables

  • Crypt (disambiguation) — Crypt may refer to: Crypt, a stone chamber Cryptography Crypt (Unix), both a utility program (command) and an unrelated standard library function in Unix A colloquial short name for Cryptocoryne, a genus of plants Crypt (anatomy) Crypts of… …   Wikipedia

  • Crypt Style — Compilation album by Jon Spencer Blues Explosion Released May 24, 1993 …   Wikipedia

  • Crypt Of Civilization — La Crypt of Civilization (de l anglais signifiant littéralement « crypte de la civilisation »), est une capsule temporelle américaine, fermée en 1936. Considérée par le Livre Guinness des records comme la première à avoir été mise en… …   Wikipédia en Français

  • Crypt of civilization — La Crypt of Civilization (de l anglais signifiant littéralement « crypte de la civilisation »), est une capsule temporelle américaine, fermée en 1936. Considérée par le Livre Guinness des records comme la première à avoir été mise en… …   Wikipédia en Français

  • Crypt Falls — Location Waterton Lakes National Park, Alberta, Canada Type Horsetail …   Wikipedia

  • Crypt of Lyzandred the Mad — Rules required 2nd Ed AD D Campaign setting Greyhawk Authors Sean K. Reynolds First published 1998 …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”