Vlákno názorů k článku Zaostřeno na dm-crypt od Peter Cernoch - Omlouvam se za neodbytnost a "jednodussi" nahled na...

Omlouvam se za neodbytnost a "jednodussi" nahled na svet ale v teto oblasti jsem skutecny zelenac.

Podle vyseuvedenych prispevku je tedy vysledek sifrovani silne zavisly na util-linux a podobnych vecech.

Mate mne ale to, ze cryptoAPI je primo soucasti jadra, takze kdyz mu poslu __z jakehokoliv__ rozhrani stejna data a heslo, (a samozrejme volam stejny sifrovaci modul) mel bych dostat stejny vysledek.

V pripade sifrovani oddilu jsou data na disku jen posloupnost bytu s nejakou hlavickou pro OS, aby bylo jasne ze se nejedna o nahodny shluk dat.
Ja tyto byty ctu (pravdepodobne pomoci funkci jadra pro pristup k hardware), posilam jadru k (de)sifrovani a zase pres jadro k uzivateli nebo zpet na disk.

Vzhledem k tomu ze pri pouziti ruznych rozhrani dostanu jiny vysledek, se muj hurvinkoidni pohled na vec hrouti. Co sakra jeste dela toto rozhrani nez ze slouzi jenom jako "vyhybka" pro spravne nasmerovani dat k jadru a kontrole (jadrem) vracenych hodnot volanych funkci (hash hesla atd.)?

Zasahuje primo do sifrovani???

<sci-fi>
Nestalo by zato tyto veci trosicku zjednotit, treba si sednout s Linusem k pivu, prastit do stolu a rict "je v tom zmatek, trochu to standardizujeme"?
</sci-fi>

<realita>
Jak co nejvic omezit vyskyt situaci ze se i pri pouziti stejnych rozhrani (jako napr. v mem pripade loop + cryptoAPI) po upgrade systemu / jadra nedostanu k sifrovanym datum?
</realita>

fungujici analogie:
sifrovani uzivatelskych hesel v systemu, kdy se po upgrade muzu dale beze zmen prihlasovat (meznik stinovych hesel je davno pryc)!!!

Uf, to jsem se rozepsal....

Petr

Pokud vim, cryptoapi nefixluje a je-li stejny klic, stejny algo a stejny IV, dostaneme stejny vysledek. Problemem je ten losetup, ktery z hesla (treba i v binarni forme) vyrobi klic a tento klic preda cryptoapi. Kazdy losetup totiz ten klic z hesla dela jinak - proto budes-li upgradovat, nekam si schovat losetup, nejlepe staticky slinkovany, jeste lepe samozrejme zdrojaky. Co se tyka sifrovani root partisny, nepouzivam initrd, ale "maly system" na nezasifrovane partisne, kde mam zakladni veci (/bin /sbin /dev /etc apod.), pripojim nekam budouci opravdovy root svazek, pivot_root, chroot a exec /sbin/init, takze je to vlastne podobne jako u initrd. Co se tyka prechodu na dm-crypt, tak o tom nevim vubec nic ani po precteni tohoto clanku :-). Treba mi neni jasne, jak zasifruji partisnu, kde uz mam data a nemam jinde volne misto. V cryptoloopu to jde snadno - nalosetupuju (fuj) si loop a neco jako dd if=/dev/hda1 of=/dev/loop1 bs=4096 a mam zasifrovano. Da se neco obdobneho udelat s dm-cryptem ?