dmsetupの代わりにopenssl暗号化ツールを使用して暗号化画像を作成できますか？

一般に、私はこれをすることによって暗号化されたext4イメージを作成することができます：

fallocate -l 6553600 encrypt.img
losetup -f encrypt.img
dmsetup create encrypt_disk --table "0 12800 crypt aes 32BYTEKEY 0 /dev/loop0 0"
mkfs.ext4 /dev/mapper/encrypt_disk

それから/ dev / mapper / encrypt_diskをディレクトリにマウントすると、このディスク内のすべてのファイルが自動的に暗号化されます。そして私はencrypt.imgを得ました。次回dmsetupによってロードすることができます。

これが私の質問です。dmsetupの代わりにopensslツールを使ってencrypt.imgを作成できますか？多分それはこのようになるでしょう：

fallocate -l 6553600 encrypt.img
losetup -f encrypt.img
mkfs.ext4 /dev/loop0
openssl aes ...

ありがとうございました。

disk-encryption device-mapper dm-crypt

— shuofei
ソース

OpenSSLはストリーム暗号に焦点を当てているといつも思っていましたが、それは完全に正しいとは限らないので、CBC（暗号ブロック連鎖）モードでAESのようなブロック暗号を実装できることを確認してください。言ったことを言っても、彼らが主要大学で教える暗号の最初の規則は「自分でやろうとしないでください。このことは専門家と大量の査読を必要とします。あなたはすべきです "。そのため、要約すると、暗号化を実装しようとするときに、殴られた道から離れすぎないでください。そのいじりがシステムを弱体化させるその可能性が高いです。

— Frank Thomas

いいえ、できません。
使用するファイルシステムはカーネルに実装されているので、カーネルにも実装されている基本的な暗号化ブロックデバイス実装が必要です。 dmsetup ... crypt。
openssl はカーネルの外部で暗号化を行うユーザースペースの実装であるため、ファイルシステムをサポートするデバイスの実装には使用できません。

代わりにユーザースペースのファイルシステムを使用した場合、それは違います。 ext4しかし、周りに何かあるかもしれません fuseそれからこれ できた カーネルベースのブロックデバイス以外のものに基づいていますが、それはまったく異なるトピックです。

— Juergen
ソース