dm-crypt – Wikipédia, a enciclopédia livre

O dm-crypt é um subsistema de criptografia de disco transparente, nas versões 2.6 e posteriores do núcleo do Linux e no DragonFly BSD. Ele faz parte da infraestrutura do mapeador de dispositivos e usa rotinas criptográficas da API Crypto do núcleo. Ao contrário de seu antecessor cryptoloop, o dm-crypt foi projetado para suportar modos avançados de operação, como XTS, LRW e ESSIV (veja a teoria de criptografia de disco), para evitar ataques de marca d'água.[1] Além disso, o dm-crypt também resolve alguns problemas de confiabilidade do cryptoloop.[2]

O dm-crypt é implementado como um alvo do mapeador de dispositivos e pode ser empilhado sobre outras transformações do mapeador de dispositivos. Ele pode, assim, criptografar discos inteiros (incluindo mídia removível), partições, volumes RAID de software, volumes lógicos e arquivos. Ele aparece como um dispositivo de bloco, que pode ser usado para fazer backup de sistemas de arquivos, swap ou como um volume físico de LVM.

Algumas distribuições Linux suportam o uso de dm-crypt no sistema de arquivos raiz. Essas distribuições usam initrd para solicitar ao usuário que insira uma senha no console ou insira um cartão inteligente antes do processo normal de inicialização.

O alvo do mapeador de dispositivos dm-crypt reside inteiramente no espaço do núcleo, e está preocupado apenas com a criptografia do dispositivo de bloco - ele não interpreta nenhum dado em si. Ele depende de front-ends do espaço do usuário para criar e ativar volumes criptografados e gerenciar a autenticação. Pelo menos dois frontends estão atualmente disponíveis:o cryptsetup e o cryptmount.

A interface da linha de comando cryptsetup, por padrão, não grava nenhum cabeçalho no volume criptografado e, portanto, fornece apenas o essencial: as configurações de criptografia devem ser fornecidas toda vez que o disco for montado (embora normalmente empregado com scripts automatizados) e apenas uma chave pode ser usada por volume. A chave de criptografia simétrica é derivada diretamente da frase secreta fornecida.

Por não ter um "sal", o uso de cryptsetup é menos seguro neste modo do que no caso do Linux Unified Key Setup (LUKS).[3] No entanto, a simplicidade do cryptsetup torna-o útil quando combinado com software de terceiros, por exemplo, com autenticação de cartão inteligente.

O cryptsetup também fornece comandos para lidar com o formato de disco do LUKS. Esse formato fornece recursos adicionais, como gerenciamento de chaves e alongamento de chaves (usando o PBKDF2), e lembra a configuração do volume criptografado nas reinicializações.[4]

A interface cryptmount é uma alternativa à ferramenta "cryptsetup" que permite que qualquer usuário monte e desmonte um sistema de arquivos dm-crypt quando necessário, sem precisar de privilégios de superusuário após o dispositivo ter sido configurado por um superusuário.

Referências

  1. Clemens Fruhwirth (18 de julho de 2005). «New Methods in Hard Disk Encryption» (PDF). Vienna University of Technology. Consultado em 20 de abril de 2007 
  2. Mike Peters (8 de junho de 2004). «Encrypting partitions using dm-crypt and the 2.6 series kernel». Consultado em 20 de fevereiro de 2012 
  3. «cryptsetup FAQ» 
  4. Clemens Fruhwirth (15 de julho de 2004). «TKS1 – An anti-forensic, two level, and iterated key setup scheme» (PDF). draft. Consultado em 12 de dezembro de 2006 

Ligações externas

[editar | editar código-fonte]