- Сообщения
- 3.462
- Реакции
- 2.112
С тех пор, как разработчики TrueCrypt отказались от разработки своей утилиты, прошло достаточно много времени, но до сих пор пользователи озадачиваются вопросом — чем же заменить TrueCrypt. Пользователи Linux находятся в выгодном положении за счёт встроенной системы шифрования LUKS, позволяющей шифровать диски и контейнеры, и доступной в большинстве популярных дистрибутивов.
О подсистеме LUKS
LUKS, она же Linux Unified Key Setup, это опирающаяся на dm-crypt система шифрования, созданная специально для OS Linux, и обладающая соответствующими преимуществами над сторонними, и, в частности, коммерческими программами — например, подсистема LUKS имеет открытый исходный код.
LUKS позволяет шифровать диски и разделы, а также образа дисков, то есть благодаря LUKS вы можете создать криптоконтейнер, аналогичный контейнеру TrueCrypt — большой зашифрованный файл, монтирующийся как диск.
Если вы самостоятельно устанавливали Ubuntu, Linux Mint или базирующиеся на них дистрибутивы, вы, вероятно видели предложение зашифровать раздел, куда устанавливается Linux.
Это шифрование реализуется именно благодаря использованию LUKS.
Как и со многим в Linux, с LUKS можно работать из командной строки, как изначально и полагается, так и с использование графической оболочки. Так как не всем пользователям, особенно начинающим, комфортно работать с командной строкой, сначала будет рассмотрен графический инструмент для работы с LUKS, а затем и работа из командной строки.
Работа с LUKS с помощью eMount
eMount — удобная графическая утилита для работы с образами дисков, их монтирования и создания. В том числе, она позволяет создавать шифрованные образа дисков благодаря LUKS.
Для её установки перейдите
В mintMenu создаётся два пункта для запуска eMount — от вашего имени или от имени Root. Запустите утилиту с root-правами и введите пароль root’а, после чего вы увидите окно как на скриншоте выше.
Для того, чтобы создать зашифрованный контейнер, выберите пункт меню «File -> New -> Encrypted Disk Image».
С помощью кнопки «Browse…» укажите расположение файла-образа. В поле «Volume Label» вы можете ввести метку тома. По умолчанию она соответствует имени файла. В поле «Volume Size» введите размер файла, а с помощью переключателей укажите — в мегабайтах или гигабайтах.
В поле «File System» выберите файловую систему для образа. Вы можете выбрать одну из следующих файловых систем:
Теперь выберите, что будет использоваться для доступа к зашифрованному образу — пароль или ключевой файл. Паролю соответствует переключатель «Use Password to Secure Volume», а ключевому файлу — «Use Key File to Secure Volume».
Если вы выберите ключевой файл, вам нужно будет указать его в поле «Key File». На его роль сгодится практически любой файл. Вы может создать его сами, например, с помощью команды, подобной такой: «dd if=/dev/random of=/home/user/keyfile.key bs=32 count=1».
Параметр «bs» здесь — размер блока файла, а «count» — количество копируемых блоков. Таким образом, мы создаём ключевой файл «keyfile.key» размером в 32 байта, или 256 бит — размер ключа для алгоритма шифрования AES.
В поле «Encryption» выберите алгоритм шифрования. Алгоритмы реализуются в виде модулей ядра Linux, и их количество зависит от используемого вами дистрибутива. Для того, чтобы увидеть все поддерживаемые вашим дистрибутивом модули, выберите пункт меню «File — Load Ciphers». Наибольшей популярностью пользуется алгоритм AES.
В поле «CBC Mode» выберите режим шифрования. Их количество также зависит от используемого дистрибутива и блажи его разработчиков. Для максимальной безопасности, используйте режим на базе XTS. Так, в Linux Mint 17.2 я предпочитаю использовать «xts-essiv:sha256».
Наконец, в списке «Key Size» выберите размер ключа. Для лучшей защиты выбирайте максимальный размер, поддерживаемый алгоритмом. Так, для AES это 256 бит, а для Blowfish — 448 бит.
После того, как вы задали все настройки, щёлкните кнопку «Create» и дождитесь окончания процесса.
После окончания процесса создания файла вам нужно задать, а затем повторить пароль для него, если вы выбрали именно парольную защиту.
И так, криптоконтейнер создан. Теперь надо его использовать, а для этого его надо смонтировать. Это вы можете сделать прямо из eMount.
Выберите пункт меню «File -> Mount…».
В появившемся окне в поле «Source» укажите путь к файл-образу. В поле «Mount Point» укажите папку, к которой будет примонтирован образ. Если этой папки ещё не существует, создайте её, и задайте ей полные права доступа для себя. Вы можете сделать это с помощью кнопки «Ownership & Permissions». Также вы можете сделать это с помощью команды «sudo chmod 777 путь_к_папке» из командной строки. В поле «File System» укажите файловую систему контейнера, или оставьте «Auto», чтобы утилита попыталась сама определить её. Если вы поставите флажок «Read Only», то запись в файл-образ будет заблокирована — будет доступно только чтение. Поставьте флажок «Encrypted Volume» и укажите способ защиты — пароль (Use Password to Access Volume) или ключевой файл (Use Key File to Access Volume). Если вы выбрали ключевой файл, укажите его в поле «Key File».
Теперь щёлкните кнопку «Mount» и введите пароль в появившемся окне (если вы не выбрали ключевой файл, конечно же).
Теперь скопируйте все требующие шифрования файлы в папку, к которой вы примонтировали образ. Все копируемые в неё файлы будут зашифрованы «на лету», прозрачно для системы. Расшифровка будет происходить также прозрачно — вы можете работать с файлами, как будто они находятся в обычной папкой.
После того, как вы скопировали файлы в криптоконтейнер, не удаляйте их обычным способом — их можно будет легко восстановить в течении некоторого времени. Лучше воспользуйтесь программами для безопасного удаления файлов, например, командой shred, доступной в большинстве дистрибутивов.
После окончания работы с образом отмонтируйте его с помощью пункта «Eject» контекстного меню образа в окне eMount.
Работаем с LUKS из терминала (способ для "красноглазых")
Теперь мы рассмотрим, как работать с образами LUKS из командной строки. Для этого используется утилита cryptsetup, доступная во многих дистрибутивах «из коробки».
Для начала, вам нужно создать пустой файл-образ. Вы можете заполнить его нулями, что будет быстрее, или случайными данными, что криптографически безопаснее. Рекомендуется «забивать» его именно случайными данными из /dev/random, но если вы создаёте слишком большой образ, это может затянутся на очень длительное время, и вы можете заполнить его нулями из /dev/zero. Вы также можете использовать /dev/urandom в качестве генератора случайных данных. Он быстрее /dev/random, однако, с криптографической точки зрения он не очень безопасен.
Для создания файла используйте команду «dd if=/dev/urandom of=/home/user1/encrypted.enc bs=4M count=256», где: «if=/dev/urandom» — указание источника данных, которыми будет заполнятся файл. /dev/urandom — генератор случайных чисел. Вы также можете использовать /dev/zero как генератор нулей, или /dev/random как более безопасный генератор.
«of=/home/user1/encrypted.enc» — результирующий файл. Вы можете поместить его в любую удобную для вас папку и дать ему любое имя. Не указывайте уже существующие файлы, так как они будут перезаписаны.
«bs=4M» — размер блоков, которыми будет забивается файл. Мы выставим его в 4 мегабайта — по размеру сектора на большинстве настоящих дисков.
«count=256» — количество блоков, копируемых в файл. Здесь задаётся размер файла в 1 гигабайт. Но почему именно 256? Количество необходимых блоков рассчитывается по формуле «размер файла в мегабайтах / размер блока в мегабайтах». В данном случае 1024/4=256.
Все следующие команды должны выполнятся от имени администратора (root). Вы можете воспользоваться командой su, которая предоставит вам терминал root’а, или подставлять «sudo<пробел>» перед каждой командой. Теперь вам нужно проинициализировать файл-образ командной «cryptsetup -y luksFormat /home/user1/encrypted.enc». Утилита предупредит вас, что вы потеряете все данные, которые есть сейчас в образе. Подтвердите, что вы согласны, введя большими буквами слово YES и нажав Enter.
После этого утилита запросит у вас пароль для контейнера. Введите его и нажмите Enter, а потом повторите его и нажмите Enter. Не обращайте внимания, что пароль не отображается при вводе, это сделано для безопасности.
Теперь вам нужно отобразить файл-образ на loop устройство. Делается это с помощью команды «cryptsetup luksOpen /home/user1/encrypted.enc volume1».
Теперь отформатируйте файл образ. Для каждой файловой системы существует своя утилита форматирования, и соответственно, своя команда. Так, чтобы отформатировать образ в файловую систему ext4, введите «mkfs.ext4 /dev/mapper/volume1», а чтобы отформатировать его в FAT32 (для совместимости с Windows) — «mkfs.vfat /dev/mapper/volume1».
Теперь вам нужно примонтировать файл-образ. Для этого создайте папку, желательно в каталоге /mnt или /media, используя для этого команду «mkdir /mnt/Encrypted». Задайте для неё полные права с помощью команды «chmod 777 /mnt/Encrypted». Обе эти команды должны быть выполнены от имени root'а.
Наконец, примонтируйте образ командой «mount /dev/mapper/volume1 /mnt/Encrypted». Теперь всё, что вы скопируете в папку, к которой примонтирован образ (в данном случае «/mnt/Encrypted») будут сразу же зашифрованы и помещены в файл-образ. Всё это произойдёт абсолютно прозрачно для системы — вы можете работать с этой папкой как с обычной папкой, файлы будут шифроваться и расшифровываться на лету.
После того, как вы закончили работу с образом, вам нужно отмонтировать и закрыть его. Делается это с помощью команд «umount /mnt/Encrypted» и «cryptsetup luksClose volume1».
Когда вам в следующий раз понадобится поработать с данными в файле-образе, вам достаточно будет ввести две команды:
Вам также нужно будет ввести пароль при монтировании при открытии файла образа (после выполнения первой команды). Если вы введёте пароль неправильно, то не сможете получить доступ к данным внутри образа. После окончания работы с образом обязательно отмонтируйте и закройте его.
Как вы могли заметить, мы не указываем алгоритм шифрования, режим шифрования или длину ключа. Вместо этого мы используем значения по умолчанию. Они могут зависеть от конкретного дистрибутива, но, как правило, используются наиболее безопасные настройки. Например, в Linux Mint 17.2 используется алгоритм AES в режиме xts-plain64 и хешем SHA1.
Создание шифроконтейнера из командной строки может показаться сложным, но это не так. Вам нужно выполнить 6 команд для создания файла-образа, и по две команды для монтирования и размонтирования образа. Здесь я обобщу их:
Для создания:
Для того, чтобы смонтировать LUKS-контейнер в Windows, он должен быть отформатирован в поддерживаемую Windows файловую систему. Во-вторых, вам нужна программа LibreCrypt – наследник некогда популярной утилиты FreeOTFE, с которой когда-то случилось нечто, похожее на то, что случилось с TrueCrypt, а её разработчик исчез без вести. Поэтому, лучше использовать её только для работы с LUKS-контейнерами.
Скачайте LibreCrypt
Здесь же вы можете указать, в качестве какого диска монтировать контейнер (жёсткий диск, съёмный диск, CD, DVD), а также указать букву диска, указать, нужно ли монтировать диск для всех пользователей, и нужно ли монтировать его только для чтения. Дальнейшая работа со смонтированным образом будет происходить подобно работе с обычным диском – читаемые данные будут «на лету» расшифровываться, записываемые – шифроваться.
Если вы сталкиваетесь с сообщениями о неустановленных драйверах, щёлкните кнопку «Использовать драйверы портативного режима».
Совместимость
Как правило, LUKS-контейнеры хорошо открываются на компьютерах с отличным от вашего дистрибутивом Linux, во всяком случае, если вы не используете экзотических настроек и алгоритмов шифрования. Если вы планируете работать с контейнером на других ПК, создавайте его со стандартными параметрами и файловой системой ext2, ext4 или FAT32. Если вы планируете работать с ним в Windows при помощи FreeOTFE или LibreCrypt, используйте файловую систему FAT32. Не используйте NTFS, даже если он поддерживается вашим дистрибутивом – эта ФС может не поддерживаться в других дистрибутивах.
Заключение
У пользователей Linux есть надёжная и мощная встроенная альтернатива как TrueCrypt, так и другому криптографическому ПО. И альтернатива эта в лице подсистемы LUKS и утилиты cryptsetup.
Изначально предполагается, что пользователь должен работать с LUKS из командной строки, но имеется довольно удобная утилита eMount, которая хоть и не поддерживает все возможности LUKS, но обеспечивает достаточный для большинства пользователей функционал.
В статье не были рассмотрены все возможности LUKS и cryptsetup. Так, с помощью cryptsetup вы можете изменять размер криптоконтейнеров (файлов-образов), управлять ключами (паролями и ключевыми файлами), делать резервную копию заголовка криптоконтейнера, шифровать диски и разделы, и так далее. Подробную инструкцию по использованию этих возможностей вы можете найти в сети, а описание параметров cryptsetup – в его man’е (выполните команду man cryptsetup из командной строки).
Вы можете поступать с криптоконтейнерами LUKS также, как и с контейнерами TrueCrypt,
Ну и, конечно же, хочется отметить, что в отличии от таких технологий, как BitLocker в Windows или FileVault в Mac OS X, LUKS – полностью открытая технология с открытым исходным кодом, что позволяет каждому желающему убедится в её безопасности и отсутствии закладок.
О подсистеме LUKS
LUKS, она же Linux Unified Key Setup, это опирающаяся на dm-crypt система шифрования, созданная специально для OS Linux, и обладающая соответствующими преимуществами над сторонними, и, в частности, коммерческими программами — например, подсистема LUKS имеет открытый исходный код.
LUKS позволяет шифровать диски и разделы, а также образа дисков, то есть благодаря LUKS вы можете создать криптоконтейнер, аналогичный контейнеру TrueCrypt — большой зашифрованный файл, монтирующийся как диск.
Если вы самостоятельно устанавливали Ubuntu, Linux Mint или базирующиеся на них дистрибутивы, вы, вероятно видели предложение зашифровать раздел, куда устанавливается Linux.
Это шифрование реализуется именно благодаря использованию LUKS.
Как и со многим в Linux, с LUKS можно работать из командной строки, как изначально и полагается, так и с использование графической оболочки. Так как не всем пользователям, особенно начинающим, комфортно работать с командной строкой, сначала будет рассмотрен графический инструмент для работы с LUKS, а затем и работа из командной строки.
Работа с LUKS с помощью eMount
eMount — удобная графическая утилита для работы с образами дисков, их монтирования и создания. В том числе, она позволяет создавать шифрованные образа дисков благодаря LUKS.
Для её установки перейдите
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
и скачайте пакет с утилитой. Для Ubuntu и Linux Mint подойдёт пакет «Debian binary package (Debian, Ubuntu) XX-bit», где XX — разрядность вашей системы (32 или 64 bit). После окончания загрузки запустите скачанный файл двойным щелчком и следуйте указаниям на экране.В mintMenu создаётся два пункта для запуска eMount — от вашего имени или от имени Root. Запустите утилиту с root-правами и введите пароль root’а, после чего вы увидите окно как на скриншоте выше.
Для того, чтобы создать зашифрованный контейнер, выберите пункт меню «File -> New -> Encrypted Disk Image».
С помощью кнопки «Browse…» укажите расположение файла-образа. В поле «Volume Label» вы можете ввести метку тома. По умолчанию она соответствует имени файла. В поле «Volume Size» введите размер файла, а с помощью переключателей укажите — в мегабайтах или гигабайтах.
В поле «File System» выберите файловую систему для образа. Вы можете выбрать одну из следующих файловых систем:
- ext2
- ext3
- ext4
- fat16
- fat32
- NTFS
- ReiserFS
- XFS
Теперь выберите, что будет использоваться для доступа к зашифрованному образу — пароль или ключевой файл. Паролю соответствует переключатель «Use Password to Secure Volume», а ключевому файлу — «Use Key File to Secure Volume».
Если вы выберите ключевой файл, вам нужно будет указать его в поле «Key File». На его роль сгодится практически любой файл. Вы может создать его сами, например, с помощью команды, подобной такой: «dd if=/dev/random of=/home/user/keyfile.key bs=32 count=1».
Параметр «bs» здесь — размер блока файла, а «count» — количество копируемых блоков. Таким образом, мы создаём ключевой файл «keyfile.key» размером в 32 байта, или 256 бит — размер ключа для алгоритма шифрования AES.
В поле «Encryption» выберите алгоритм шифрования. Алгоритмы реализуются в виде модулей ядра Linux, и их количество зависит от используемого вами дистрибутива. Для того, чтобы увидеть все поддерживаемые вашим дистрибутивом модули, выберите пункт меню «File — Load Ciphers». Наибольшей популярностью пользуется алгоритм AES.
В поле «CBC Mode» выберите режим шифрования. Их количество также зависит от используемого дистрибутива и блажи его разработчиков. Для максимальной безопасности, используйте режим на базе XTS. Так, в Linux Mint 17.2 я предпочитаю использовать «xts-essiv:sha256».
Наконец, в списке «Key Size» выберите размер ключа. Для лучшей защиты выбирайте максимальный размер, поддерживаемый алгоритмом. Так, для AES это 256 бит, а для Blowfish — 448 бит.
После того, как вы задали все настройки, щёлкните кнопку «Create» и дождитесь окончания процесса.
После окончания процесса создания файла вам нужно задать, а затем повторить пароль для него, если вы выбрали именно парольную защиту.
И так, криптоконтейнер создан. Теперь надо его использовать, а для этого его надо смонтировать. Это вы можете сделать прямо из eMount.
Выберите пункт меню «File -> Mount…».
В появившемся окне в поле «Source» укажите путь к файл-образу. В поле «Mount Point» укажите папку, к которой будет примонтирован образ. Если этой папки ещё не существует, создайте её, и задайте ей полные права доступа для себя. Вы можете сделать это с помощью кнопки «Ownership & Permissions». Также вы можете сделать это с помощью команды «sudo chmod 777 путь_к_папке» из командной строки. В поле «File System» укажите файловую систему контейнера, или оставьте «Auto», чтобы утилита попыталась сама определить её. Если вы поставите флажок «Read Only», то запись в файл-образ будет заблокирована — будет доступно только чтение. Поставьте флажок «Encrypted Volume» и укажите способ защиты — пароль (Use Password to Access Volume) или ключевой файл (Use Key File to Access Volume). Если вы выбрали ключевой файл, укажите его в поле «Key File».
Теперь щёлкните кнопку «Mount» и введите пароль в появившемся окне (если вы не выбрали ключевой файл, конечно же).
Теперь скопируйте все требующие шифрования файлы в папку, к которой вы примонтировали образ. Все копируемые в неё файлы будут зашифрованы «на лету», прозрачно для системы. Расшифровка будет происходить также прозрачно — вы можете работать с файлами, как будто они находятся в обычной папкой.
После того, как вы скопировали файлы в криптоконтейнер, не удаляйте их обычным способом — их можно будет легко восстановить в течении некоторого времени. Лучше воспользуйтесь программами для безопасного удаления файлов, например, командой shred, доступной в большинстве дистрибутивов.
После окончания работы с образом отмонтируйте его с помощью пункта «Eject» контекстного меню образа в окне eMount.
Работаем с LUKS из терминала (способ для "красноглазых")
Теперь мы рассмотрим, как работать с образами LUKS из командной строки. Для этого используется утилита cryptsetup, доступная во многих дистрибутивах «из коробки».
Для начала, вам нужно создать пустой файл-образ. Вы можете заполнить его нулями, что будет быстрее, или случайными данными, что криптографически безопаснее. Рекомендуется «забивать» его именно случайными данными из /dev/random, но если вы создаёте слишком большой образ, это может затянутся на очень длительное время, и вы можете заполнить его нулями из /dev/zero. Вы также можете использовать /dev/urandom в качестве генератора случайных данных. Он быстрее /dev/random, однако, с криптографической точки зрения он не очень безопасен.
Для создания файла используйте команду «dd if=/dev/urandom of=/home/user1/encrypted.enc bs=4M count=256», где: «if=/dev/urandom» — указание источника данных, которыми будет заполнятся файл. /dev/urandom — генератор случайных чисел. Вы также можете использовать /dev/zero как генератор нулей, или /dev/random как более безопасный генератор.
«of=/home/user1/encrypted.enc» — результирующий файл. Вы можете поместить его в любую удобную для вас папку и дать ему любое имя. Не указывайте уже существующие файлы, так как они будут перезаписаны.
«bs=4M» — размер блоков, которыми будет забивается файл. Мы выставим его в 4 мегабайта — по размеру сектора на большинстве настоящих дисков.
«count=256» — количество блоков, копируемых в файл. Здесь задаётся размер файла в 1 гигабайт. Но почему именно 256? Количество необходимых блоков рассчитывается по формуле «размер файла в мегабайтах / размер блока в мегабайтах». В данном случае 1024/4=256.
Все следующие команды должны выполнятся от имени администратора (root). Вы можете воспользоваться командой su, которая предоставит вам терминал root’а, или подставлять «sudo<пробел>» перед каждой командой. Теперь вам нужно проинициализировать файл-образ командной «cryptsetup -y luksFormat /home/user1/encrypted.enc». Утилита предупредит вас, что вы потеряете все данные, которые есть сейчас в образе. Подтвердите, что вы согласны, введя большими буквами слово YES и нажав Enter.
После этого утилита запросит у вас пароль для контейнера. Введите его и нажмите Enter, а потом повторите его и нажмите Enter. Не обращайте внимания, что пароль не отображается при вводе, это сделано для безопасности.
Теперь вам нужно отобразить файл-образ на loop устройство. Делается это с помощью команды «cryptsetup luksOpen /home/user1/encrypted.enc volume1».
Теперь отформатируйте файл образ. Для каждой файловой системы существует своя утилита форматирования, и соответственно, своя команда. Так, чтобы отформатировать образ в файловую систему ext4, введите «mkfs.ext4 /dev/mapper/volume1», а чтобы отформатировать его в FAT32 (для совместимости с Windows) — «mkfs.vfat /dev/mapper/volume1».
Теперь вам нужно примонтировать файл-образ. Для этого создайте папку, желательно в каталоге /mnt или /media, используя для этого команду «mkdir /mnt/Encrypted». Задайте для неё полные права с помощью команды «chmod 777 /mnt/Encrypted». Обе эти команды должны быть выполнены от имени root'а.
Наконец, примонтируйте образ командой «mount /dev/mapper/volume1 /mnt/Encrypted». Теперь всё, что вы скопируете в папку, к которой примонтирован образ (в данном случае «/mnt/Encrypted») будут сразу же зашифрованы и помещены в файл-образ. Всё это произойдёт абсолютно прозрачно для системы — вы можете работать с этой папкой как с обычной папкой, файлы будут шифроваться и расшифровываться на лету.
После того, как вы закончили работу с образом, вам нужно отмонтировать и закрыть его. Делается это с помощью команд «umount /mnt/Encrypted» и «cryptsetup luksClose volume1».
Когда вам в следующий раз понадобится поработать с данными в файле-образе, вам достаточно будет ввести две команды:
Код:
cryptsetup luksOpen /home/user1/encrypted.enc volume1
mount /dev/mapper/volume1 /mnt/EncryptedВам также нужно будет ввести пароль при монтировании при открытии файла образа (после выполнения первой команды). Если вы введёте пароль неправильно, то не сможете получить доступ к данным внутри образа. После окончания работы с образом обязательно отмонтируйте и закройте его.
Как вы могли заметить, мы не указываем алгоритм шифрования, режим шифрования или длину ключа. Вместо этого мы используем значения по умолчанию. Они могут зависеть от конкретного дистрибутива, но, как правило, используются наиболее безопасные настройки. Например, в Linux Mint 17.2 используется алгоритм AES в режиме xts-plain64 и хешем SHA1.
Создание шифроконтейнера из командной строки может показаться сложным, но это не так. Вам нужно выполнить 6 команд для создания файла-образа, и по две команды для монтирования и размонтирования образа. Здесь я обобщу их:
Для создания:
- dd if=/dev/urandom of=/home/user1/encrypted.enc bs=4M count=256 – создание «пустого» файла образа, заполненного случайными числами. Случайные числа берутся из /dev/urandom. Если вы подставите вместо него /dev/zero, то файл будет заполнен нулями. Это гораздо быстрее, но гораздо менее криптографически безопасно, так как можно точно определить положение зашифрованных данных в файле. Вы также можете использовать более надёжный и безопасный (по некоторым свидетельствам, гораздо) генератор /dev/random, который генерирует полностью случайные биты, опираясь на разные источники энтропии, в том числе и аппаратные генераторы случайных числе процессоров, но он медленнее /dev/urandom и может значительно затянуть создание контейнера.
- cryptsetup -y luksFormat /home/user1/encrypted.enc – инициализация файла-образа и создание зашифрованного раздела в нём
- cryptsetup luksOpen /home/user1/encrypted.enc volume1 – открываем образ и отображаем его на loop-устройство volume1
- mkfs.ext4 /dev/mapper/volume1 или mkfs.vfat /dev/mapper/volume1 – форматирование файла-образа в файловую систему ext4 или FAT Вы можете использовать любую другую файловую систему, поддерживаемую вашим дистрибутивом Linux
- mkdir /mnt/Encrypted и chmod 777 /mnt/Encrypted – создаём папку для монтирования и задаём полные права на неё
- mount /dev/mapper/volume1 /mnt/Encrypted/ — монтируем файл-образ на созданную папку
- cryptsetup luksOpen /home/user1/encrypted.enc volume1 – открываем образ и отображаем его на loop-устройство volume1
- mount /dev/mapper/volume1 /mnt/Encrypted/ — монтируем файл-образ на созданную папку
- umount /mnt/Encrypted – размонтируем файл-образ
- cryptsetup luksClose volume1 – закрываем файл образ
Для того, чтобы смонтировать LUKS-контейнер в Windows, он должен быть отформатирован в поддерживаемую Windows файловую систему. Во-вторых, вам нужна программа LibreCrypt – наследник некогда популярной утилиты FreeOTFE, с которой когда-то случилось нечто, похожее на то, что случилось с TrueCrypt, а её разработчик исчез без вести. Поэтому, лучше использовать её только для работы с LUKS-контейнерами.
Скачайте LibreCrypt
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
и установите его. Теперь запустите его, щёлкните стрелку вниз справа от кнопки «Open file…» и выберите там «Open LUKS Container». Укажите файл LUKS-контейнера, и в появившемся окне введите пароль или укажите ключевой файл.Здесь же вы можете указать, в качестве какого диска монтировать контейнер (жёсткий диск, съёмный диск, CD, DVD), а также указать букву диска, указать, нужно ли монтировать диск для всех пользователей, и нужно ли монтировать его только для чтения. Дальнейшая работа со смонтированным образом будет происходить подобно работе с обычным диском – читаемые данные будут «на лету» расшифровываться, записываемые – шифроваться.
Если вы сталкиваетесь с сообщениями о неустановленных драйверах, щёлкните кнопку «Использовать драйверы портативного режима».
Совместимость
Как правило, LUKS-контейнеры хорошо открываются на компьютерах с отличным от вашего дистрибутивом Linux, во всяком случае, если вы не используете экзотических настроек и алгоритмов шифрования. Если вы планируете работать с контейнером на других ПК, создавайте его со стандартными параметрами и файловой системой ext2, ext4 или FAT32. Если вы планируете работать с ним в Windows при помощи FreeOTFE или LibreCrypt, используйте файловую систему FAT32. Не используйте NTFS, даже если он поддерживается вашим дистрибутивом – эта ФС может не поддерживаться в других дистрибутивах.
Заключение
У пользователей Linux есть надёжная и мощная встроенная альтернатива как TrueCrypt, так и другому криптографическому ПО. И альтернатива эта в лице подсистемы LUKS и утилиты cryptsetup.
Изначально предполагается, что пользователь должен работать с LUKS из командной строки, но имеется довольно удобная утилита eMount, которая хоть и не поддерживает все возможности LUKS, но обеспечивает достаточный для большинства пользователей функционал.
В статье не были рассмотрены все возможности LUKS и cryptsetup. Так, с помощью cryptsetup вы можете изменять размер криптоконтейнеров (файлов-образов), управлять ключами (паролями и ключевыми файлами), делать резервную копию заголовка криптоконтейнера, шифровать диски и разделы, и так далее. Подробную инструкцию по использованию этих возможностей вы можете найти в сети, а описание параметров cryptsetup – в его man’е (выполните команду man cryptsetup из командной строки).
Вы можете поступать с криптоконтейнерами LUKS также, как и с контейнерами TrueCrypt,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
,
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
и прочими – передавать их через Интернет, выгружать на облачные хранилища, носить на флешке, и т.д.Ну и, конечно же, хочется отметить, что в отличии от таких технологий, как BitLocker в Windows или FileVault в Mac OS X, LUKS – полностью открытая технология с открытым исходным кодом, что позволяет каждому желающему убедится в её безопасности и отсутствии закладок.
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
