Qual è la differenza tra il sottosistema del kernel linux dm-crypt ed ecryptfs?

Question

Stavo cercando di leggere il sorgente di ecryptfs in linux. Qualcuno potrebbe aiutarmi a spiegare la distinzione tra sottosistema del kernel linux dm-crypt ed ecryptfs. C'è qualche libro di riferimento che presenta la fonte di ecryptfs. grazie per aiutarmi .

Answer 1

dm-crypt e eCryptfs sono entrambe caratteristiche strettamente integrate nel kernel Linux, che crittografano i dati a riposo. Entrambi sono stati a monte nel kernel di Linux almeno dal 2006 e sono pesantemente utilizzati da consumatori e imprese. L'approccio che ciascuno prende, tuttavia, è abbastanza diverso.

dm-crypt fornisce la crittografia a livello "block". Con dm-crypt, il kernel di Linux crea un intero dispositivo a blocchi crittografato, che può quindi essere utilizzato come qualsiasi altro dispositivo a blocchi nel sistema. Può essere partizionato, intagliato in uno LVM, RAID o utilizzato direttamente come disco. Ciò significa, tuttavia, che devi decidere di utilizzare la crittografia in anticipo e pre-allocare lo spazio in primo piano e quindi creare e un file system format. È estremamente veloce ed efficiente, specialmente quando la CPU supporta l'accelerazione crittografica Intel AES-NI sulla CPU. Tuttavia, c'è solo una singola chiave utilizzata per l'intero dispositivo a blocchi. In quanto tale, è un approccio un po 'brusco, tutto o niente alla crittografia.

eCryptfs fornisce la crittografia "per file". eCryptfs è un file system stacked pienamente compatibile con lo standard POSIX per Linux. eCryptfs memorizza metadata nell'intestazione di ciascun file, in modo che i file crittografati possano essere copiati tra gli host; il file verrà decodificato con la chiave corretta nel portachiavi del kernel di Linux. Non è necessario tenere traccia di eventuali informazioni aggiuntive oltre a quelle già presenti nel file crittografato stesso. Si può pensare a eCryptfs come una sorta di "GnuPG come un filesystem". File diversi possono essere crittografati con chiavi diverse, e nomi di file possono facoltativamente essere crittografati. Gli attributi di file, tuttavia, non sono mascherati, pertanto un utente malintenzionato potrebbe vedere la dimensione approssimativa di un file, le sue proprietà, le autorizzazioni e i timestamp. Poiché eCryptfs è un filesystem a livelli, non è necessario pre-allocare lo spazio prima del tempo. Basta montare una directory sopra un'altra (un po 'come NFS); tutti i dati scritti e letti dalla directory superiore (supponendo che tu abbia la chiave) assomigliano ai dati plaintext, ma tutti i dati sono crittografati prima di essere scritti sul disco sotto come ciphertext. Poiché eCryptfs deve elaborare chiavi e metadati su base per-file, si comporta un po 'più lentamente di dm-crypt su letture e scritture sature.

La maggior parte delle distribuzioni Linux supporta dm-crypt in parte nei loro programmi di installazione, nonché Android. È possibile utilizzare dm-crypt per crittografare l'intero dispositivo o l'installazione di root di un desktop, tablet, telefono o server, ma questo in genere significa che il sistema non può più essere avviato automaticamente, poiché è necessario inserire una passphrase in modo interattivo all'avvio.

Per questo motivo, Ubuntu aggiunto il supporto per eCryptfs nella sua installazione, consentendo agli utenti di crittografare solo parti sensibili del disco, come their home directories, e sfruttando l'login passphrase all'utente di scartare una speciale chiave, lungo, generato casualmente. Circa 3 milioni di utenti di Ubuntu sfruttano eCryptfs per crittografare la propria home directory. Alcuni dispositivi commerciali network attached storage, come Synology, utilizzano eCryptfs per crittografare i dati a riposo. E ogni Google Chromebook device uses eCryptfs per proteggere e crittografare la cache locale dell'utente e le credenziali a riposo.

Divulgazione completa: sono uno degli autori e manutentori di eCryptfs.