Dm-crypt

dm-crypt ist ein Kryptographie-Modul des Device Mappers im Linux-Kernel. Man kann mit dm-crypt Daten mit verschiedenen Algorithmen ver- und entschlüsseln, dies wird meist auf Partitionen oder andere Gerätedateien (engl. Devices) angewandt. Es wird hier also eine zusätzliche Schicht zwischen (verschlüsselten) (Roh-)Daten und dem Dateisystem aufgebaut. Für den Benutzer geschieht dies vollkommen transparent. dm-crypt eignet sich so zur Festplattenverschlüsselung von ganzen Partitionen oder Festplatten. dm-crypt unterstützt eine Vielzahl von Verschlüsselungsalgorithmen, da es die Crypto API des Linuxkernels nutzt.

Einen anderen Ansatz verfolgt die (transparente) Dateiverschlüsselung, bei der das Dateisystem für die Ver- und Entschlüsselung zuständig ist.

Anwendung

• Festplattenverschlüsselung zum Schutz sensibler Daten gegen Diebstahl (insbesondere für mobile Geräte wie Notebooks).
• Schutz gegen Datenwiederherstellung beim Verkauf oder der Entsorgung von Datenträgern. Hier wären sonst aufwändige Verfahren nötig, um die Daten sicher zu löschen, etwa das Überschreiben oder die physische Zerstörung des Datenträgers.

Erweiterung mit LUKS

Eine gängige Erweiterung ist LUKS („Linux Unified Key Setup“), welche die verschlüsselten Daten um einen zusätzlichen Header erweitert, in dem Metadaten, sowie bis zu acht Schlüssel gespeichert werden. Vorteile gegenüber „reinem“ dm-crypt sind: ein standardisiertes Format, Informationen über die Art der Verschlüsselung im Header, Vergabe von bis zu acht Schlüsseln sowie die Änderung von Schlüsseln. Diese Funktionen wären mit dm-crypt alleine nicht möglich.

Nachteile

Datendurchsatz

Bedingt durch den zusätzlichen Rechenaufwand der Verschlüsselungsalgorithmen entstehen Performanceeinbußen, der Datendurchsatz sinkt gegenüber unverschlüsselten Datenträgern. Eine Verbesserung kann durch schnellere Prozessoren, Mehrkernprozessoren, der Optimierung der Algorithmen auf die jeweilige Architektur oder einer Implementierung als Hardwareverschlüsselung erreicht werden.

Kryptographische Angreifbarkeit

Auf mit dm-crypt verschlüsselte Daten sind teilweise kryptographische Angriffe denkbar:^[1]

• Wasserzeichenangriff, wenn nicht mit ESSIV konfiguriert
• Angriff über ein Content leak
• Angriff über ein Data modification leak
• allgemeine Angriffe auf Festplattenverschlüsselungsverfahren

Alternativen

Für Linux gibt es beispielsweise LUKS und TrueCrypt als Alternativen. Mit FreeOTFE und TrueCrypt existieren auch kompatible Implementierungen für Microsoft Windows und Mac OS X.

Literatur

• Clemens Fruhwirth, Markus Schuster: Geheime Niederschrift. Festplattenverschlüsselung mit DM-Crypt und Cryptsetup-LUKS: Technik und Anwendung In: Linux-Magazin 08/2005. Linux New Media AG, S. 28-36, ISSN 1432-640X, online verfügbar
• Frank Becker und Konrad Rosenbaum: „Plattenschlüssel – Crypto-Dateisysteme auf Linux“, Vortrag auf Chemnitzer Linuxtag 2005, online verfügbar (PDF, 400 kB)
• Christian Ney, Peter Gutmann: Löchriger Käse. Verschlüsselte Filesysteme unter Linux In: Linux-Magazin 10/2006. Linux New Media AG, S. 36-44, ISSN 1432-640X, online verfügbar

Weblinks

• Website von dm-crypt (englisch)
• Website von LUKS (englisch)
• Benchmarks für dm-crypt (englisch)
• CryptoNAS - Fileserver, der dm-crypt zur Verschlüsselung nutzt (englisch)

Einzelnachweise

1. ↑ Linux hard disk encryption settings, englisch