タグ付けされた質問 「cryptsetup」

3
単一のパスフレーズを使用して、起動時に複数の暗号化されたディスクのロックを解除する
私のマシンにはSSDがあり、そこにシステムとHDDをインストールしました。これらは大容量ファイルや頻繁に使用しないファイルのストレージとして使用します。両方とも暗号化されていますが、私はそれらに同じパスフレーズを使用することを選択しました。SSDはにマウントされ/、HDD はにマウントされ/usr/hddます(個々のユーザーはそれぞれディレクトリを持ち、ホームディレクトリから好きなようにシンボリックリンクできます)。 システムが起動すると、すぐにSSDのパスフレーズを要求し、数秒後にHDDのパスフレーズを要求します(自動マウントされます)。両方のパスフレーズが同じ場合、一度だけ尋ねるようにシステムを構成する方法はありますか?

1
Abysmal General dm-crypt(LUKS)書き込みパフォーマンス
ブロックデバイスを暗号化すると、書き込み時にパフォーマンスが大幅に低下する問題を調査しています。インターネットで何時間も読んだり実験したりしても、解決策は言うまでもなく、適切な理解が得られませんでした。 要するに、ブロックデバイスにbtrfsを入れると書き込み速度が完全に速くなる(〜170MB / s)のに、dm-crypt / LUKSを入れると書き込み速度が急落する(〜20MB / s)ファイルシステムとブロックデバイス。ただし、システムは十分に高い暗号化スループットを維持できますか? シナリオ /home/schlimmchen/random/dev/urandom以前のデータで満たされた4.0GBファイルです。 dd if=/dev/urandom of=/home/schlimmchen/Documents/random bs=1M count=4096 それを読むことは超高速です: $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 6.58036 s, 648 MB/s $ dd if=/home/schlimmchen/Documents/random of=/dev/null bs=1M 4265841146 bytes (4.3 GB) copied, 0.786102 s, 5.4 GB/s (2回目は、明らかにファイルはキャッシュから読み取られました)。 暗号化されていないbtrfs デバイスはbtrfsで直接フォーマットされます(ブロックデバイスにはパーティションテーブルはありません)。 $ sudo mkfs.btrfs …


2
暗号化されたLVMボリューム(LUKSデバイス)がブート時にマウントされないのはなぜですか?
このガイドに従って暗号化されたボリュームをセットアップしようとしています すべてがセットアップされていますが、暗号化されたボリュームのマウントはブート時に次のエラーで失敗します。 fsck.ext4:/ dev / mapper / safe_vaultを開こうとしているときに、そのようなファイルまたはディレクトリが存在しない可能性がありますか? これは私のセットアップです: crypttab $ sudo cat /etc/crypttab safe_vault /dev/disk/by-uuid/d266ae14-955e-4ee4-9612-326dd09a463b none luks 注意: uuidから来ています: $ sudo blkid /dev/mapper/<my_logical_group>-safe_vault /dev/mapper/<my_logical_group>-safe_vault: UUID="d266ae14-955e-4ee4-9612-326dd09a463b" TYPE="crypto_LUKS" fstab $ sudo cat /etc/fstab | grep safe_vault /dev/mapper/safe_vault /safe-vault ext4 defaults 0 2 私がやったこと... だから私はdevoperのウェブサイトに行き、よくある問題のFAQで彼らは言う: カーネルにデバイスマッパーと暗号化ターゲットがあることを確認してください。「dmsetupターゲット」の出力には、「crypt」ターゲットがリストされます。存在しない場合、またはコマンドが失敗する場合は、デバイスマッパーとcrypt-targetをカーネルに追加します。 だから私はやった、私はcryptターゲットを持っていないことが判明した: $ sudo dmsetup targets striped …
15 lvm  cryptsetup 

2
LUKSパーティションを縮小するにはどうすればよいですか、「cryptsetup resize」は何をしますか?
単一のext4ファイルシステム(LVMなどが含まれていない)を含むLUKS暗号化パーティションのサイズを変更しています。cryptsetupよくあるご質問は、古いパーティションを削除して再作成が、多くの時間を無駄ような音ことをすることをお勧めします。そのため、手動でパーティションのサイズを慎重に変更します。 これまでのところ、私はする必要があると思います: ファイルシステムの(暗号化された)バックアップを作成します。重要!次のタスクを実行している間、データを最初に失うことはありません。 既存のext4ファイルシステムをアンマウントします(ライブCDから起動するなど)。Live CDから起動する場合は、次を使用して暗号化パーティションをマウントしますcryptsetup luksOpen /dev/sdXY ExistingExt4 既存のext4ファイルシステムのサイズを変更します。 cryptsetup resize /dev/mapper/ExistingExt4 -b $SECTORS 閉じる/ LUKSパーティションを「アンマウント」する cryptsetup luksClose ExistingExt4 パーティションサイズを縮小します。 上記の手順は正しいですか? ステップ4では、何を選ぶべき$SECTORSですか?このステップは必要ですか?cryptsetupマニュアルページには、本当にに記述されていないresizeオプション: resize <name> resizes an active mapping <name>. If --size (in sectors) is not specified, the size of the underlying block device is used. 最後に、ext4パーティションを15 GiB縮小すると、parted?を使用して15 GiBを既存のパーティションから削除できると安全に想定できますか?はいの場合、その方法は?それが重要な場合、私のディスクはGPTパーティション化されています。

4
TRIMが実際にSSDで動作することを独立して検証する
私はluksOpenでLUKSパーティションを持っています:/dev/sda1--allow-discards cryptsetup --allow-discards luksOpen /dev/sda1 root 次にext4、discardオプションを使用してファイルシステムをマウントします。 grep /dev/mapper/root /proc/mounts /dev/mapper/root / ext4 ro,relatime,block_validity,discard,delalloc,barrier,user_xattr,acl 0 0 次に、マウントされたパーティションの空き領域をトリミングします。 fstrim -v / ではdf、/80%の空き容量があります。つまり/dev/sda1、では、ディスクの80%がバイナリゼロです。 で画像を複製した場合 cat cat /dev/sda1 > sda1.img そして、イメージをxzで圧縮すると、ディスク上のすべてのゼロが圧縮されるはずです。ディスク上のデータの20%は暗号化されているため、ランダムに見え、圧縮できないはずです。したがって、xzで圧縮されたイメージは約になります。未加工サイズの20%。 ただし、結果のxz圧縮イメージは、元の元のイメージとほぼ同じサイズです。 私の推論は正しいですか? なぜ私の理論は実践に変換されないのですか?
13 ext4  ssd  cryptsetup  trim  fstrim 

1
Luksパーティションを閉じることができません
バックアップのために、LVMパーティションを「スナップショット」しました。このパーティションは暗号化されていたため、バックアップを行うためにこのLuksパーティション(スナップショット)を開いています。 問題は、スナップショットを削除するのを忘れたため、使用率が100%に達したということです。 スナップショットを削除しようとすると: lvremove /dev/mapper/vgx-LogVolDBSnapshot /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 375809572864: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 375809630208: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 0: Input/output error /dev/vgx/LogVolDBSnapshot: read failed after 0 of 4096 at 4096: Input/output error /dev/mapper/SnapshotDecrypted: …
13 partition  lvm  io  disk  cryptsetup 

4
dm-crypt + LUKSコンテナーにラベルを設定するにはどうすればよいですか?
新しいUSBフラッシュドライブを受け取り、それに2つの暗号化パーティションを設定しました。私はからdm-crypt(LUKSモード)を使用しましたcryptsetup。暗号化されていないパーティションを追加すると、ドライブの構造は次のようになります。 /dev/sdb1、暗号化され、「パーティション1」というラベルの付いたext4ファイルシステムを非表示にします。 /dev/sdb2、暗号化され、「パーティション2」というラベルの付いた別のext4ファイルシステムを非表示にします。 /dev/sdb3「パーティション3」というラベルの付いた、明確で目に見えるext4ファイルシステム。 ラベルはext4ファイルシステムに添付されているため、パーティションが復号化されていない限り、最初の2つは完全に非表示のままです。つまり、当面の間、LUKSコンテナーにはラベルがありません。これは、GNOME(自動マウント)を使用する場合に特に煩わしいです。この場合、ロックを解除するまで、パーティションは「x GB暗号化」および「y GB暗号化」と表示されます。 これは実際にはブロッキングの問題ではありませんが、ラベルが本当に好きで、パーティションがまだ暗号化されている場合でもラベルが表示されるようにしたいので、非常に迷惑です。 したがって、ラベルをext4ファイルシステムに添付するのと同じように、dm-crypt + LUKSコンテナーにラベルを添付する方法はありますか?dm-crypt + LUKSヘッダーにはそのための余地がありますか?その場合、ラベルを設定するにはどうすればよいですか? 解読前にext4ラベルを公開したくないので注意してください。これはばかげています。コンテナーに他のラベルを追加したいのですが、ext4ラベルが非表示になっているときに表示される可能性があります。

2
「mount」だけでcryptsetupコンテナをマウントする方法は?
暗号化されたコンテナを作成しました #!/bin/bash dd if=/dev/zero of=$1 bs=1 count=0 seek=$2 MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksFormat $LOOPDEV cryptsetup luksOpen $LOOPDEV $(basename $MAPPER) mkfs.ext3 $MAPPER cryptsetup luksClose $MAPPER losetup -d $LOOPDEV つまり、たとえばcontainerこのスクリプトに指定されたファイルには、で暗号化されたext3ファイルシステムが含まれますcryptsetup luksFormat。 マウントするには、現在別のスクリプトを使用していますdm.mount container /mnt/decrypted。 #!/bin/bash set -e MAPPER=$(mktemp -up /dev/mapper) LOOPDEV=$(losetup --find --show $1) cryptsetup luksOpen $LOOPDEV $(basename …

1
crypttabおよびVeraCrypt
私はFedoraとWindows Vistaをデュアルブートし、それらにパーティションを共有させて、LinuxとWindowsの両方で同じファイルで作業できるようにし、すべてを暗号化する必要があります。 TrueCryptが古くなっているので、共有ドライブをVeraCryptで暗号化しました。Windowsは、ログイン時に簡単にボリュームをマウントできます。 Linuxでも同じようにしようとしましたがcrypttab、veracryptオプションの使用方法がわからないため、またはオプションがある場合でも、運がありませんでした。 オプションcryptsetupを追加するだけで十分です--veracryptが、オプションcrypttabがないようです。 cryptsetup --veracrypt open --type tcrypt /dev/sdX veracrypt-volume VeraCryptボリュームをマウントするにはどうすればよいcrypttabですか?まだ可能ですか?

1
LUKS暗号化を理解しようとしています
ルートパーティションをLUKS + LVMで暗号化することにしました。 私のThinkPadセットアップ: サムスン830128GB SSD 750GB HDD Core 2 Duo 2,5 GHz P9500 8GB RAM しかし、私が読むほど、次の2つの主題について理解が深まります。 1a。暗号 cryptsetupFAQ からの引用があるため、私は2/512の代わりにSHA1を使用する予定でした(一部推奨されています)。 5.20 LUKSが壊れています!SHA-1を使用! いいえそうではありません。SHA-1は、衝突を見つけるために(急激に)壊れますが、キー派生関数で使用するためではありません。そして、その衝突の脆弱性は非反復的な使用のみを目的としています。そして、あなたは逐語的にハッシュ値を必要とします。 これは基本的に、すでにスロットキーがあり、PBKDF2反復カウントを1(通常は10'000より大きい)に設定した場合、同じスロットを提供する別のパスフレーズを(おそらく)導出できることを意味しますキー。しかし、スロットキーを持っている場合は、キースロットのロックを解除してマスターキーを取得し、すべてを壊すことができます。したがって、基本的に、このSHA-1の脆弱性により、LUKSコンテナーを既に開いている場合に、多大な労力でLUKSコンテナーを開くことができます。 ここでの本当の問題は、暗号を理解しておらず、特定の異なる用途で壊れているメカニズムが使用されているために壊れていると主張している人々です。メカニズムの使用方法は非常に重要です。ある用途で破壊されたハッシュは、他の用途では完全に安全である可能性があります。 「SHA-1以外を使う意味はない」と読みました。しかし、一部の人々はそれが正確にそうではないことを私に言います。だから何を考えればいいかわからなくなった。 1b。 また、ディスクがロック解除されてシステムにログインすると、暗号がディスクの読み取り/書き込み/シークのパフォーマンスに影響を与えるかどうかについても情報を見つけることができませんでした。 では、暗号の複雑さは、パスワード入力段階の「パフォーマンス」だけに影響するのでしょうか、それともシステムの通常の使用中にも影響するのでしょうか。 2.アルゴリズム 私はこれを数日から読んでいますが、読むほど、混乱します。私が読んだすべてのことは、AESが最も速く、蛇が最も遅いということです。しかし、私のラップトップではそうではありません: $ cryptsetup benchmark Tests are approximate using memory only (no storage IO). PBKDF2-sha1 344926 iterations per second PBKDF2-sha256 198593 …
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.