hvad for et program bruger i til at kryptere under GNU/linux, unix eller BSD

hvad for et program bruger i til at kryptere under GNU/linux, unix eller BSD

Det bruger man faktisk ikke et "program" til i Linux - det er så at sige indbygget i kernen.... og siden kernel 2.6.4 har det også virket ordentligt.


Nu ved jeg ikke hvor dybt du er inde i Linux og hvilken distro du bruger, men den nemme metode er at bruge en device-mapper (systemet kaldes derfor også DM-crypt).

Du skal installere en pakke som hedder "cryptsetup" samt "gpg", hvis du vil passwordbeskytte din nøglefil.

Desuden skal kernen være kompileret med "device mapper support" og "crypt target support" samt med den eller de krypterings-algoritmer du vil benytte. Det er vist nok tilfældet på de fleste binære distroer.

Såfremt alt dette er klaret, kan du lave en hvilken som helst partition krypteret ved at taste nogle få linjer ind og rette din /etc/fstab.

Default er 256 bit AES hvilket burde være helt APG-sikkert.


En alternativ metode er at bruge et loop-back device i stil med loop-AES...

http://loop-aes.sourceforge.net/loop-AES.README

Personligt synes jeg dog at DM-crypt er nemmere og mere elegant i brug.

Det bruger man faktisk ikke et "program" til i Linux - det er så at sige indbygget i kernen.... og siden kernel 2.6.4 har det også virket ordentligt.

man kan kan da bare bruge det som et modul??

Såfremt alt dette er klaret, kan du lave en hvilken som helst partition krypteret ved at taste nogle få linjer ind og rette din /etc/fstab.

hvor meget langsommer bliver patitionen når den er krypteret. og kan man bruge den på alle filsystemmer?

Default er 256 bit AES hvilket burde være helt APG-sikkert.
hvor højt kan man kryptere med?

man kan kan da bare bruge det som et modul??

Du kan godt kompilere det som et modul, hvis du vil. Ulempen er så, at mapping-devicet ikke kan oprettes og at den krypterede partition ikke kan mountes før modulet er loadet.




hvor meget langsommer bliver patitionen når den er krypteret. og kan man bruge den på alle filsystemmer?

Min erfaring siger at man ryger ned på ca. halv hastighed ved AES med default settings. Jeg synes ikke at det er generende, men jeg ville nok aldrig finde på at kryptere swap eller tmp, som jeg har hørt nogle foreslå.

Devicemapperen ligger sig ind mellem filsystemet og selve disken så derfor er den helt ligeglad med, hvilket filsystem du formaterer den med.




hvor højt kan man kryptere med?

Snupper lige en udskrift af help-teksten for cryptsetup...


bash-2.05b# cryptsetup --help
Usage: cryptsetup [OPTION...] <action> <name> [<device>]
-v, --verbose Shows more detailed error messages

-c, --cipher=STRING The cipher used to encrypt the disk (see /proc/crypto) (default: "aes")

-h, --hash=STRING The hash used to create the encryption key from the passphrase (default: "ripemd160")

-y, --verify-passphrase Verifies the passphrase by asking for it twice

-d, --key-file=STRING Read the key from a file (can be /dev/random)

-s, --key-size=BITS The size of the encryption key (default: 256)

-b, --size=SECTORS The size of the device

-o, --offset=SECTORS The start offset in the backend device

-p, --skip=SECTORS How many sectors of the encrypted data to skip at the beginning

Help options:
-?, --help Show this help message
--usage Show this help message

<action> is one of:
create - create device
remove - remove device
reload - modify active device
resize - resize active device
status - show device status
<name> is the device to create under /dev/mapper
<device> is the encrypted device


Som du kan se så kan man med argumentet "-s" angive en nøglestørrelse, men hvor stor den max. må være ved jeg ikke. Defaulten på 256 burde dog være nok til at gøre det umuligt for APG at bryde den - og hvis nøglen gøres meget større, stiger regnearbejdet for PC'en kraftigt med deraf følgende reduktion i hastigheden. Hvor meget dette mærkes afhænger så af, hvor kraftig en maskine man har.

Man kan også vælge en af de andre algoritmer i stedet for AES via argumentet "-c", hvis man vil det. Jeg har hørt at Twofish også skulle være rimelig sikker.

#jowls så siger jeg da tak!