Вопрос или проблема
Я создам некоторые файлы, которые можно записывать один раз и читать много раз.
Мне нужен только один ключ для открытия файла, и для меня нет причин менять ключ в будущем.
Заголовок будет храниться в другом месте и никогда не покинет мой сейф, но данные уйдут.
Я хочу минимальный размер заголовка, как это сделать?
Версия cryptsetup – 2.7.5
Должен ли я использовать luksFormat --type luks1, чтобы получить заголовок размером 2 МиБ?
Или что делают --luks2-metadata-size и --luks2-keyslots-size?
Как понять эти две опции?
Ответ или решение
Использование Cryptsetup – Заголовок LUKS для Файлов Записи лишь Один Раз и Чтения Многоразового
Введение
При работе с шифрованием файлов с использованием инструментов, таких как cryptsetup, важно понимать, как заголовок LUKS (Linux Unified Key Setup) влияет на защиту ваших данных. В данной статье мы рассмотрим, как установить минимальный размер заголовка и как его свойства могут быть изменены с помощью разных опций в версии cryptsetup 2.7.5.
Зачем Нужен Заголовок LUKS?
Заголовок LUKS хранит информацию о шифровании и ключах, необходимых для доступа к зашифрованным данным. Он играет ключевую роль в доступе к данным и управлении ключами, а его безопасность критически важна для защиты файлов. В вашем случае, с файлами "записи один раз", потребуется лишь один ключ, что упрощает сценарий использования.
Минимизация Заголовка
Ваша основная цель – создать заголовок минимального размера, при этом гарантируя, что он надежно хранится в безопасном месте. Команда luksFormat --type luks1 будет полезной для достижения этой цели, так как LUKS1 подразумевает фиксированный размер заголовка в 2MiB. Таким образом, если вы выберете этот тип, у вас будет увеличение уровня безопасности благодаря тому, что заголовок не будет превышать размер, что также упрощает процесс его хранения.
Опции --luks2-metadata-size и --luks2-keyslots-size
С переходом на LUKS2 в cryptsetup были введены новые опции, такие как --luks2-metadata-size и --luks2-keyslots-size. Давайте рассмотрим каждую из них более подробно:
-
--luks2-metadata-size: Эта опция задает размер метаданных LUKS2. В отличие от LUKS1, который имеет фиксированный размер заголовка, LUKS2 позволяет гибко управлять размером заголовка. Вы можете увеличить или уменьшить этот размер в зависимости от ваших потребностей, что может быть полезным для хранения дополнительной информации о шифровании. -
--luks2-keyslots-size: Эта опция управляет размером для хранения слотов ключей в заголовке LUKS2. Поскольку LUKS2 поддерживает несколько слотов для ключей (что позволяет многим пользователям иметь разные ключи доступа), размер будет зависеть от количества ключей, которые вы планируете использовать. Если вы намерены использовать только один ключ, как в вашем случае, вы можете установить минимальный размер.
Рекомендации по Созданию Заголовка
Для вашего сценария рекомендуется:
- Использовать
luksFormat --type luks1для фиксированного 2MiB заголовка, если вам не нужны дополнительные функции LUKS2. - Если вы решите использовать LUKS2, то установите
--luks2-metadata-size=2048Kи--luks2-keyslots-size=128K, чтобы сохранить минимальный размер заголовка, необходимый только для одного ключа.
Заключение
Понимание структуры заголовка LUKS и правильное использование параметров шифрования позволит вам создать безопасные и эффективные решения для хранения ваших файлов. Применение минимального размера заголовка, сохраняя его в безопасности, повысит уровень защиты вашей информации. Поскольку у вас единственный ключ для доступа, рассмотренные вами опции помогут наладить оптимальную конфигурацию.