Вопрос или проблема
Мне предложили, что моя публикация (https://security.stackexchange.com/questions/73140/is-there-an-aes-256-luks-encryption-option-in-fedora?noredirect=1#comment120019_73140) будет лучше, если я задам ее здесь.
Так что вот вопрос:
У меня есть определенная информация на моем диске, к которой я не хочу, чтобы кто-либо (даже я 😉 ) получал доступ. Я недавно прочитал, что Fedora предлагает только AES 128 шифрование LUKS. Это просто недостаточно безопасно для меня. Я хочу 256 или более сильное шифрование для всего моего диска.
Теперь я в замешательстве, потому что на этом сайте: http://docs.fedoraproject.org/en-US/Fedora/14/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html написано, что Fedora поддерживает только 128-битное шифрование. Хотя здесь: Насколько безопасно стандартное полное шифрование диска в Ubuntu? говорится, что LUKS использует 256-битное шифрование, или это только для Ubuntu.
Есть ли способ использовать AES 256 или более сильное полное шифрование диска на Fedora?
Извините, что мне пришлось задать этот вопрос в двух местах. Я думал, что форум по безопасности будет более подходящим, так как он посвящен исключительно безопасности. Я не знал, что это конфигурация/вопрос, специфичный для системы.
Да. LUKS/dm-crypt/cryptsetup доступен для Fedora, и поддерживается AES 256.
Но если вы спрашиваете, разрешит ли графический интерфейс установки Fedora сделать это, я не знаю. Возможно, по умолчанию он использует AES-XTS с 256-битными ключами—но я не знаю.
Тем не менее, это действительно не проблема, специфичная для дистрибутива. LUKS, dm-crypt, cryptsetup и модификации ядра — это проблема уровня ядра и применима к каждому дистрибутиву.
ArchLinux обычно имеет хорошую информацию по таким технологиям.
https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption
Поиск этой строки на той странице:
# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat <device>
Другие соответствующие вопросы, которые стоит задать:
- Как настроить/установить LUKS после установки.
- Как зашифровать точки монтирования Linux после установки.
- Как зашифровать разделы подкачки Linux.
- Как загрузить модификации ядра dm-crypt, чтобы расшифровать диск при загрузке.
- Как настроить Grub и/или SysLinux для монтирования зашифрованных разделов при загрузке.
- Как настроить crypttab и fstab для монтирования разделов при загрузке.
- Как настроить Linux для монтирования разделов LUKS, EncFS или ecryptFS при входе в систему.
Ответ или решение
Вопрос о возможности использования AES 256 LUKS шифрования в Fedora поднимает интересные аспекты безопасности, которые стоит рассмотреть более подробно.
1. Понимание LUKS и AES 256
LUKS (Linux Unified Key Setup) — это стандарт для управления шифрованием дисков на системах, использующих Linux. Основной его компонент, dm-crypt, реализует прозрачное шифрование блоков, позволяя использовать различные алгоритмы и режимы шифрования, включая AES с длиной ключа 256 бит. Это именно тот уровень безопасности, который вы ищете для защиты конфиденциальной информации на вашем диске.
2. Поиск информации о Fedora
Ваши предположения о том, что Fedora может предлагать только AES 128, основаны на устаревшей или неполной информации. На самом деле, Fedora поддерживает AES 256 и многие другие алгоритмы шифрования, благодаря пакету cryptsetup, который используется для создания и управления LUKS-томами.
3. Установка шифрования в Fedora
При установке Fedora через графический интерфейс, возможно, будет отсутствовать явный выбор AES 256 в меню. Однако, вы можете настроить шифрование вручную, используя терминал. Для этого используйте следующую команду:
cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat <device>
Эта команда инициализирует LUKS-том с использованием алгоритма шифрования AES в режиме XTS с длиной ключа 512 бит (что фактически эквивалентно использованию 256 битных ключей на каждом уровне).
4. После установки
Если вы уже установили систему и хотите зашифровать существующие разделы, вам следует:
- Ознакомиться с документацией по LUKS и dm-crypt, чтобы понять, как монтировать зашифрованные разделы и управлять ими.
- Изучить методы настройки crypttab и fstab для автоматического монтирования зашифрованных разделов при загрузке системы.
5. Поддержка в сообществе
Форумы и вики, такие как ArchWiki, содержат ценные ресурсы и пошаговые руководства по настройке шифрования, которые могут быть полезны и для пользователей Fedora. Информация о том, как загружать модули ядра для dm-crypt и другие настройки, поможет вам настроить вашу систему на максимальную безопасность.
Заключение
Таким образом, вы можете использовать AES 256 LUKS шифрование в Fedora. Исходя из вашего запроса, наличие этого уровня шифрования не зависит от дистрибутива, а скорее от правильной настройки и использования необходимых инструментов, таких как cryptsetup. Если у вас возникнут дополнительные вопросы или потребуются советы по конкретным шагам, не стесняйтесь обращаться за поддержкой на форумах или к документации.
Не забывайте, что ваша безопасность — это непрерывный процесс. Регулярно обновляйте систему и следите за новыми рекомендациями в области безопасности, чтобы ваши данные оставались защищенными.