Нам есть, что скрывать

Михаил Емельченков

Хакер, номер #090, стр. 090-104-1

(Michael@Emeltchenkov.net)

Шифрование дисков с помощью Dm-crypt

Оставлять информацию незашифрованной - значит подвергать свои данные опасности. Сегодня я расскажу тебе, с помощью чего, как и зачем можно шифровать данные в ОС Linux, начиная от создания зашифрованного диска и заканчивая шифрованием временных данных. После прочтения этой статьи и применения полученных знаний на практике ты сможешь спать спокойно.

Потребность в шифровании данных существовала с давних времен. Кто-то пытается оградить свои данные от конкурентов, кто-то играет в шпионов, кто-то – просто хакер, обеспокоенный возможными последствиями своих действий. В любом случае, у каждого человека так или иначе возникает необходимость в сохранении своих данных.

В принципе, есть лишь два вида угрозы: раскрытие и видоизменение данных. Раскрытие данных означает то, что кому-то стал известен смысл информации. Последствия могут быть самые разные. Например, если похищен текст книги, над которой работали многие месяцы, то потери авторов могут составить несколько тысяч долларов, а если книга уже издана, то похищение ее текста может создать книге дополнительную рекламу. Другое дело — искаженная информация. Она представляет гораздо большую опасность. Например, если данные организации об инвентарных описях или списках заказов будут стерты, то работа парализуется надолго.

Существует несколько способов шифрования в Linux:

* Шифрование отдельных файлов (выполняется с помощью GnuPG).

* Шифрование дисков (можно выполнить с помощью Dm-crypt, а посредством Dm-crypt — создать виртуальный шифрованный диск, который будет располагаться в физическом файле на диске).

Device-mapper – новая инфраструктура ядра Linux 2.6, которая позволяет создавать виртуальные устройства, работающие поверх физических. Dm-crypt отличается от Cryptoloop более чистым кодом и удобством в настройке. Я рассмотрю применение Dm-tools для Debian и Gentoo. Для остальных дистрибутивов процедуры настройки будут аналогичны.

Установка Dm-crypt

Сначала необходимо настроить конфигурацию ядра, запустив графическую оболочку для его настройки:

# cd /usr/src/linux

# make menuconfig

Необходимые опции ядра

// Подключаем опции, имеющие статус разрабатываемых или экспериментальных

1. Code maturity level options -> Prompt for development and/or incomplete code/drivers

// Данная опция необходима для корректной работы с udev

2. General setup -> Support for hot-pluggable devices

// Поддержка непосредственно самого Device-mapper

3. Device Drivers -> Multi-device support (RAID and LVM) -> Device mapper support

// Поддержка шифрования через Device-mapper

4. Device Drivers -> Multi-device support (RAID and LVM) -> Crypt target support

// Поддержка алгоритма шифрования AES

5. Cryptographic options -> AES cipher algorithms

// Поддержка алгоритма хэширования SHA1

6. Cryptographic options -> SHA1 digest algorithm

// Поддержка виртуальных RAM-дисков

7. Device Drivers -> Block devices -> RAM disk support

// Поддержка так называемого начального RAM-диска

8. Device Drivers -> Block devices -> RAM disk support -> Initial RAM disk (initrd) support