Linux統一密鑰設置

Linux統一密鑰設置
Debian安裝程式,顯示了使用整個磁盤,設定LVM並將之使用LUKS加密的選項
Debian安裝程式,顯示了使用整個磁盤,設定LVM並將之使用LUKS加密的選項
原作者Clemens Fruhwirth
当前版本2.3.4[1]在维基数据编辑(2020年9月3日,4年前)
编程语言C语言
操作系统#作業系統支援
类型磁盘加密
许可协议GNU宽通用公共许可证第2.1版
网站gitlab.com/cryptsetup/cryptsetup 编辑维基数据

Linux統一密鑰設置(英語:Linux Unified Key Setup,縮寫:LUKS)是由Clemens Fruhwirth在2004年爲Linux開發的磁盘加密規範。LUKS實現了可用於各種工具上的跨平臺標準磁盘加密格式,促進了不同工具之間的兼容性和互操作性,確保它們都以安全和統一的方式實施密碼管理。[2]

簡介

LUKS的用途是加密设备文件系统。被加密的內容無需是某種格式,因此任何文件系統都可以被加密,甚至包括虛擬記憶體分區[3]在每個已加密的磁碟的頭部,均有未加密的部分用以承載加密密鑰[註 1]以及諸如加密類型和密鑰大小等加密參數。[4][5]

磁碟頭部承載的加密密鑰是LUKS和plain dm-crypt的主要分別。LUKS允許使用多個不同的密碼解密同一個磁碟,也可以隨時輕易的修改或移除之。但是如果磁碟頭部被損壞,則不可能復原被加密的資料。[6]

加密的過程使用了多層加密:首先,資料被主密鑰加密,然後主密鑰被複製多份,分別被不同的用戶密鑰加密,最後被加密的主密鑰均被儲存到磁碟中。[7]通常,用戶密鑰是密碼片語,但其他加密方式例如OpenPGP公开密钥或者X.509數碼證書也可使用。PGP公开密钥可以與被連接到主機的OpenPGP智能卡合併使用。[8][9]這種分層加密方法被稱爲TKS1。[10][11]

LUKS有兩個版本:LUKS1以及LUKS2。LUKS1默認使用PBKDF2加密,而LUKS2默認使用Argon2;LUKS2也具備對磁碟頭部損壞的彈性。[12]在兩個LUKS版本之間切換或許可能,但某些功能(例如Argon2)未必能在LUKS1上使用。[4]LUKS2使用JSON作爲其元數據儲存格式。[4][13]

可用的加密算法取決於內核的支持。Libgcrypt英语Libgcrypt支持所有LUKS支持的加密算法,可以作爲散列的後端。[14]默認加密算法由作業系統決定。[15]LUKS1使用一種名爲AFsplitter的反電腦鑑證技術,以保護文件以及確保文件能夠被徹底抹除英语Data erasure

在LVM上使用LUKS

邏輯捲軸管理員(LVM)可以與LUKS並用。[16]

LUKS加密的LVM
類似直接分割一個LUKS加密卷,LUKS可以直接加密整個LVM物理卷,允許之中的所有邏輯卷被單一密鑰加密。LVM物理卷的架構在解密之前不可見。[17]
LUKS加密的LVM邏輯卷
如果LUKS被用於加密單一LVM邏輯卷,其可以分佈於多個物理卷上。LVM物理卷的架構在解密之前已經可見。[18]

對整個磁盤加密

LUKS常用於對整個磁盤加密,包括加密作業系統的根目錄,以保護所有資料免被具有物理存取權限的攻擊者未獲授權的第三方英语Adversary (cryptography)存取或修改。[16]

在Linux系統上,爲防止第三方篡改Linux內核引導分區可以在引導程序英语Bootloader支援LUKS的前提下同樣被加密。[註 2]但是,第一階段引導程序以及EFI系统分区無法被如此加密。[16]

加密家目錄

在運行systemd的系統上,systemd-homed可以用以加密個別家目錄[20]

作業系統支援

LUKS的参考实现是在Linux上運行的修改版cryptsetup,並使用dm-crypt作爲加密後端。在Microsoft Windows,LUKS加密的磁盤以前可以通過LibreCrypt存取,[21]但已因安全漏洞而棄用;[22][23]現在則可以通過适用于Linux的Windows子系统使用。[24]DragonFly BSD支援LUKS。[25]

安裝程序支援

部分Linux發行版的安裝程序可以在安裝時對整個磁盤加密,包括Calamares英语Calamares (software)[26]Ubiquity[27]以及Debian安裝程式[28]

磁碟格式

LUKS磁碟頭是向前兼容的,新版的LUKS可以讀取舊版LUKS的磁碟頭。

LUKS2

LUKS2設備以二進制標頭開頭,旨在讓blkid更容易進行識別。LUKS2磁碟頭的所有字串資料均是以null標記完結的字符串。JSON資料區緊接在二進制標頭後,當中儲存了LUKS的設定、密鑰以及加密細節。LUKS2密鑰槽的二進制格式與LUKS1大致相似,但允許個別密鑰槽的算法(例如不同的PBKDF)。LUKS2包含另一種密鑰以在在重新加密過程中斷的情況下允許冗餘。[13]

使用範例

本章節使用LUKS的参考实现cryptsetup來示範操作。

加密裝置/dev/sda1

# cryptsetup luksFormat /dev/sda1

解密已被LUKS加密的同一磁碟,而name是映射的設備名稱: 

# cryptsetup luksOpen /dev/sda1 name

重新加密

對LUKS容器的重新加密可以使用cryptsetup或者舊工具cryptsetup-reencrypt實現。這些工具也可以用來加密先前未加密的磁碟,或永久解密已加密的磁碟。[14][29]兩個方法所適用的命令語法相近: 

# # 使用 cryptsetup
# cryptsetup reencrypt /dev/sda1
# # 使用 cryptsetup-reencrypt
# cryptsetup-reencrypt /dev/sda1

參見

備註

  1. ^ 在LUKS1加密磁碟中可以承載至多8個密鑰,在LUKS2上則是32個。
  2. ^ GRUB是一個支援LUKS的引導程序的例子。[19]

參考來源

  1. ^ https://mirrors.edge.kernel.org/pub/linux/utils/cryptsetup/v2.3/v2.3.4-ReleaseNotes.
  2. ^ Fruhwirth, Clemens. LUKS On-Disk Format Specification Version 1.2.3 (PDF). 2018-01-20 [2021-09-23]. (原始内容存档 (PDF)于2023-04-12). 
  3. ^ Encrypting drives using LUKS. Fedora Docs. [6 May 2022]. (原始内容存档于2023-06-10). 
  4. ^ 4.0 4.1 4.2 Chapter 12. Encrypting block devices using LUKS. Red Hat Customer Portal. [2023-04-12]. (原始内容存档于2023-04-17). 
  5. ^ How to Encrypt Hard Disk (partition) using LUKS in Linux. 27 February 2019 [2023-04-12]. (原始内容存档于2023-04-12). 
  6. ^ How to Encrypt Your Data with dm-crypt. Linode. [2023-04-12]. (原始内容存档于2023-04-17). 
  7. ^ Bossi, Simone; Visconti, Andrea. What Users Should Know About Full Disk Encryption Based on LUKS (PDF). 2015 [2023-04-12]. (原始内容存档 (PDF)于2021-05-06). 
  8. ^ Full-Disk Encryption With cryptsetup/LUKS. [6 May 2022]. (原始内容存档于2023-05-21). 
  9. ^ How to encrypt a LUKS container using a smart card or token. 20 April 2014 [2023-04-12]. (原始内容存档于2023-05-18). 
  10. ^ TKS1 · Wiki · cryptsetup / cryptsetup · GitLab. GitLab. [2023-04-12]. (原始内容存档于2023-04-12) (英语). 
  11. ^ Fruhwirth, Clemens. TKS1 – An anti-forensic, two level, and iterated key setup scheme (PDF). Draft. 2004-07-15 [2021-09-23]. (原始内容存档 (PDF)于2023-04-12). 
  12. ^ How LUKS works with Full Disk Encryption in Linux. 25 September 2021 [2023-04-12]. (原始内容存档于2023-04-12). 
  13. ^ 13.0 13.1 on-disk-format-luks2.pdf (PDF). [2023-04-12]. (原始内容存档 (PDF)于2023-04-12). 
  14. ^ 14.0 14.1 cryptsetup(8) – Linux系统管理员工具(Administration and Privileged Commands)手册页
  15. ^ Breaking LUKS Encryption. eForensics. 21 August 2020 [2023-04-12]. (原始内容存档于2023-06-04). 
  16. ^ 16.0 16.1 16.2 dm-crypt/Encrypting an entire system. [6 May 2022]. (原始内容存档于2023-06-10). 
  17. ^ Arch with LVM on LUKS. [2023-04-12]. (原始内容存档于2023-04-17). 
  18. ^ LUKS on LVM: encrypted logical volumes and secure backups. 12 September 2014 [2023-04-12]. (原始内容存档于2023-04-17). 
  19. ^ GRUB - ArchWiki. wiki.archlinux.org. [2023-04-12]. (原始内容存档于2023-06-11). 
  20. ^ Home Directories. systemd. [2023-04-12]. (原始内容存档于2023-06-08). 
  21. ^ LibreCrypt. GitHub. 27 July 2022 [2023-04-12]. (原始内容存档于2018-05-16). 
  22. ^ Flaw in driver allows privilege escalation. Feedback wanted · Issue #38 · t-d-k/LibreCrypt. GitHub. 30 September 2015 [2023-04-12]. (原始内容存档于2023-03-20). 
  23. ^ Driver allows writing to arbitrary devices · Issue #39 · t-d-k/LibreCrypt. GitHub. 7 October 2015 [2023-04-12]. (原始内容存档于2023-03-20). 
  24. ^ Servicing the Windows Subsystem for Linux (WSL) 2 Linux Kernel. Microsoft Developer Blogs. 16 April 2021 [2023-04-12]. (原始内容存档于2023-05-22). 
  25. ^ DragonFly's Major Features List. [6 May 2022]. (原始内容存档于2023-05-13). 
  26. ^ Michael Larabel. Calamares Installer Adds LUKS Encryption Support. Phoronix. 8 May 2016 [2023-04-12]. (原始内容存档于2022-05-21). 
  27. ^ How to Encrypt Your Hard Disk in Ubuntu. Make Tech Easier. 13 January 2017 [2023-04-12]. (原始内容存档于2023-05-11). 
  28. ^ PartmanCrypto. Debian Wiki. [6 May 2022]. (原始内容存档于2023-04-12). 
  29. ^ CRYPTSETUP-REENCRYPT(8) Man page. man7.org. [2023-04-12]. (原始内容存档于2023-05-10). 

外部連結

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi