Vlákno názorů k článku
Cryptoroot pro nejvyšší bezpečnost (1)
od Michal Ludvig - Drobna terminologicka poznamka:
> Prakticky známe dvě implementace cryptoloop,...
> Prakticky známe dvě implementace cryptoloop, a to
> CryptoAPI a loop-AES.
Jedinym ukolem CryptoAPI je poskytovat zbytku kernelu pres standardni interface pristup k ruznym kryptografickym algoritmum. Takze CryptoAPI neimplementuje ani IPsec ani cryptoloop, ale jen poskytuje potrebne "zazemi".
Vyhodou tohoto pristupu je moznost pridat optimalizovanou (=rychlejsi) verzi nejakeho algoritmu a razem ji bude moci vyuzivat cely kernel. To se v posledni dobe stalo s aes-i586 (ma sice ponekud bourlivou historii, nicmene ve 2.6.8 snad v nejake podobe bude).
Dal bych si dovolil s autorem polemizovat ohledne volby loop-AES misto dm-crypt. Pomoci dm-crypt je mozne zasifrovat celou partition, cimz odpadne rezie spojena s umistenim filesystemu v loopback souboru na hostitelskem filesystemu. A krome toho je to standardni soucast 2.6 jader, takze neni potreba nic patchovat ;-)
Co se tyce CryptoAPI, tak mate pravdu. CryptoAPI vlastne zpristupnuje sifrovaci fce, ktere jiz v jadru jsou.
Co se tyce dm-crypt vs. loop-AES ... ja vybiral mezi CryptoAPI a loop-AES:-) Zkusim na to mrknout a mozna se to objevi v jednom z pristich clanku - jestli to ovsem nekdo neprozkouma za me;-)
To je sice pravda, ale je tu jistý problém v tom,
že onen jaderný modul 'loop.ko' se musí s každým novým kernelem kompilovat extra, a potažmo se tedy musí při upgradu kernelu pamatovat na rekompilaci loop-AES.
To nepovažuji za moc dobré.
Možná opravdu bude stát za to ještě vyzkoušet ten DM-crypt [s novějším jádrem]. :)
