「Dm-crypt」の版間の差分
ナビゲーションに移動
検索に移動
細 (文字列「[[zh-CN:」を「[[zh-hans:」に置換) |
(同期) |
||
| 2行目: | 2行目: | ||
[[Category:セキュリティ]] |
[[Category:セキュリティ]] |
||
[[Category:ファイルシステム]] |
[[Category:ファイルシステム]] |
||
| + | [[de:dm-crypt]] |
||
| − | [[de:ArchLinux mit verschlüsseltem LVM und Systemd]] |
||
[[en:Dm-crypt]] |
[[en:Dm-crypt]] |
||
[[es:Dm-crypt]] |
[[es:Dm-crypt]] |
||
[[fr:LUKS]] |
[[fr:LUKS]] |
||
| − | [[ |
+ | [[it:Dm-crypt with LUKS]] |
| + | [[ru:Dm-crypt]] |
||
[[zh-hans:Dm-crypt]] |
[[zh-hans:Dm-crypt]] |
||
{{Related articles start}} |
{{Related articles start}} |
||
| 12行目: | 13行目: | ||
{{Related3|Removing System Encryption|システム暗号化の削除}} |
{{Related3|Removing System Encryption|システム暗号化の削除}} |
||
{{Related articles end}} |
{{Related articles end}} |
||
| − | この記事では ''dm-crypt'' を使って Arch Linux で暗号化をセットアップする方法を取り上げます。''dm-crypt'' は Linux カーネルに含まれている標準の device-mapper 暗号化機能です。 |
+ | この記事では ''dm-crypt'' を使って Arch Linux で暗号化をセットアップする方法を取り上げます。''dm-crypt'' は Linux カーネルに含まれている標準の device-mapper 暗号化機能です。cryptsetup プロジェクトの [https://gitlab.com/cryptsetup/cryptsetup/wikis/DMCrypt wiki] より: |
| + | |||
| + | :Device-mapper は Linux 2.6 と 3.x カーネルでブロックデバイスの仮想レイヤーを作成するための汎用の手段として提供されているインフラです。Device-mapper の crypt ターゲットはカーネルの crypto API によるブロックデバイスの透過的な暗号化を実現します。ユーザーは対称鍵暗号・暗号化モード・鍵・iv 生成モードを指定して {{ic|/dev}} に新しいブロックデバイスを作成することができます。デバイスへの書き込みは暗号化され、読み込むときに復号化されます。通常のデバイスとしてファイルシステムをマウントしたり、RAID や LVM ボリュームなど他のデバイスに dm-crypt デバイスをスタックすることが可能です。dm-crypt のマッピングテーブルに関する基本的なドキュメントはカーネルソースに付属しており、最新版は git リポジトリに存在します。 |
||
==一般的な筋書き== |
==一般的な筋書き== |
||
このセクションでは ''dm-crypt'' を使用してシステムや個別のファイルシステムのマウントポイントを暗号化する基本的なシナリオを紹介します。このシナリオは他のサブページと必要なところでクロスします。様々な実践的な暗号化手段を習熟するための出発点です。 |
このセクションでは ''dm-crypt'' を使用してシステムや個別のファイルシステムのマウントポイントを暗号化する基本的なシナリオを紹介します。このシナリオは他のサブページと必要なところでクロスします。様々な実践的な暗号化手段を習熟するための出発点です。 |
||
| − | [[Dm-crypt/root 以外のファイルシステムの暗号化#パーティション|パーティション]]や [[Dm-crypt/root 以外のファイルシステムの暗号化#Loop デバイス|loop デバイス]]など、システムを起動するのには使われないデバイスを暗号化する必要がある場合は [[Dm-crypt/root 以外のファイルシステムの暗号化]] |
+ | [[Dm-crypt/root 以外のファイルシステムの暗号化#パーティション|パーティション]]や [[Dm-crypt/root 以外のファイルシステムの暗号化#Loop デバイス|loop デバイス]]など、システムを起動するのには使われないデバイスを暗号化する必要がある場合は [[Dm-crypt/root 以外のファイルシステムの暗号化]]を見て下さい。 |
| − | システム全体、特に root パーティションを暗号化したい場合は [[Dm-crypt/システム全体の暗号化]] |
+ | システム全体、特に root パーティションを暗号化したい場合は [[Dm-crypt/システム全体の暗号化]]を見て下さい。''LUKS'' 拡張で ''dm-crypt'' を使ったり、''plain'' モードの暗号化や、暗号化と ''LVM'' など、複数のシナリオが用意されています。 |
==ドライブの準備== |
==ドライブの準備== |
||
このステップでは[[Dm-crypt/ドライブの準備#ハードディスクドライブの完全消去|ドライブを完全に消去]]したり[[Dm-crypt/ドライブの準備#パーティショニング|パーティショニングする]]操作について扱います。 |
このステップでは[[Dm-crypt/ドライブの準備#ハードディスクドライブの完全消去|ドライブを完全に消去]]したり[[Dm-crypt/ドライブの準備#パーティショニング|パーティショニングする]]操作について扱います。 |
||
| − | [[Dm-crypt/ドライブの準備]] |
+ | [[Dm-crypt/ドライブの準備]]を見て下さい。 |
==デバイスの暗号化== |
==デバイスの暗号化== |
||
このセクションでは [[Dm-crypt/デバイスの暗号化#Cryptsetup の使用方法|cryptsetup]] コマンドを使って手動で dm-crypt を利用してシステムを暗号化する方法、[[Dm-crypt/デバイスの暗号化#LUKS 固有の Cryptsetup のアクション|LUKS]] や[[Dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]の使い方について説明します。 |
このセクションでは [[Dm-crypt/デバイスの暗号化#Cryptsetup の使用方法|cryptsetup]] コマンドを使って手動で dm-crypt を利用してシステムを暗号化する方法、[[Dm-crypt/デバイスの暗号化#LUKS 固有の Cryptsetup のアクション|LUKS]] や[[Dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]の使い方について説明します。 |
||
| − | [[Dm-crypt/デバイスの暗号化]] |
+ | [[Dm-crypt/デバイスの暗号化]]を見て下さい。 |
==システム設定== |
==システム設定== |
||
このページではシステムを暗号化する際の [[Dm-crypt/システム設定#mkinitcpio|mkinitcpio]], [[Dm-crypt/システム設定#ブートローダー|ブートローダー]], [[Dm-crypt/システム設定#crypttab|crypttab]] ファイルの設定方法を記述しています |
このページではシステムを暗号化する際の [[Dm-crypt/システム設定#mkinitcpio|mkinitcpio]], [[Dm-crypt/システム設定#ブートローダー|ブートローダー]], [[Dm-crypt/システム設定#crypttab|crypttab]] ファイルの設定方法を記述しています |
||
| − | [[Dm-crypt/システム設定]] |
+ | [[Dm-crypt/システム設定]]を見て下さい。 |
==スワップデバイスの暗号化== |
==スワップデバイスの暗号化== |
||
必要ならば、スワップパーティションを暗号化されたシステムに追加することができます。システムによってスワップされたデータを保護するためにスワップパーティションも同じように暗号化しなくてはなりません。このパートでは suspend-to-disk を[[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用する|使う]]場合と[[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用しない|使わない]]場合に分けて暗号化する方法を示します。 |
必要ならば、スワップパーティションを暗号化されたシステムに追加することができます。システムによってスワップされたデータを保護するためにスワップパーティションも同じように暗号化しなくてはなりません。このパートでは suspend-to-disk を[[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用する|使う]]場合と[[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用しない|使わない]]場合に分けて暗号化する方法を示します。 |
||
| − | [[Dm-crypt/スワップの暗号化]] |
+ | [[Dm-crypt/スワップの暗号化]]を見て下さい。 |
==特記事項== |
==特記事項== |
||
このパートでは[[Dm-crypt/特記事項#暗号化されていない boot パーティションのセキュア化|暗号化されていない boot パーティションのセキュア化]]や [[Dm-crypt/特記事項#GPG や OpenSSL で暗号化されたキーファイルを使う|GPG または OpenSSL 暗号化キーファイルの使用]]、[[Dm-crypt/特記事項#root_などのパーティションのリモート解除|ネットワークを通して起動して鍵を解除]]する方法、または [[Dm-crypt/特記事項#ソリッドステートドライブ_.28SSD.29_の_Discard.2FTRIM_のサポート|SSD の discard/TRIM の設定]]、さらに [[Dm-crypt/特記事項#encrypt フックと複数のディスク|encrypt フックと複数のディスク]]の扱い方など、特別な操作について説明します。 |
このパートでは[[Dm-crypt/特記事項#暗号化されていない boot パーティションのセキュア化|暗号化されていない boot パーティションのセキュア化]]や [[Dm-crypt/特記事項#GPG や OpenSSL で暗号化されたキーファイルを使う|GPG または OpenSSL 暗号化キーファイルの使用]]、[[Dm-crypt/特記事項#root_などのパーティションのリモート解除|ネットワークを通して起動して鍵を解除]]する方法、または [[Dm-crypt/特記事項#ソリッドステートドライブ_.28SSD.29_の_Discard.2FTRIM_のサポート|SSD の discard/TRIM の設定]]、さらに [[Dm-crypt/特記事項#encrypt フックと複数のディスク|encrypt フックと複数のディスク]]の扱い方など、特別な操作について説明します。 |
||
| − | [[Dm-crypt/特記事項]] |
+ | [[Dm-crypt/特記事項]]を見て下さい。 |
== 参照 == |
== 参照 == |
||
| − | * [https:// |
+ | * [https://gitlab.com/cryptsetup/cryptsetup/wikis/DMCrypt dm-crypt] - プロジェクトのホームページ |
| − | * [ |
+ | * [https://gitlab.com/cryptsetup/cryptsetup cryptsetup] - LUKS のホームページと [https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions FAQ] - メインのヘルプ。 |
| − | * [https://git.kernel.org/cgit/utils/cryptsetup/cryptsetup.git/ cryptsetup |
+ | * [https://git.kernel.org/cgit/utils/cryptsetup/cryptsetup.git/ cryptsetup リポジトリ] と [https://www.kernel.org/pub/linux/utils/cryptsetup/ リリースアーカイブ]。 |
| − | * [ |
+ | * [https://github.com/t-d-k/doxbox DOXBOX] - Microsoft Windows における LUKS で暗号化されたボリュームの解除をサポート。 |
2017年8月20日 (日) 23:03時点における版
関連記事
この記事では dm-crypt を使って Arch Linux で暗号化をセットアップする方法を取り上げます。dm-crypt は Linux カーネルに含まれている標準の device-mapper 暗号化機能です。cryptsetup プロジェクトの wiki より:
- Device-mapper は Linux 2.6 と 3.x カーネルでブロックデバイスの仮想レイヤーを作成するための汎用の手段として提供されているインフラです。Device-mapper の crypt ターゲットはカーネルの crypto API によるブロックデバイスの透過的な暗号化を実現します。ユーザーは対称鍵暗号・暗号化モード・鍵・iv 生成モードを指定して
/devに新しいブロックデバイスを作成することができます。デバイスへの書き込みは暗号化され、読み込むときに復号化されます。通常のデバイスとしてファイルシステムをマウントしたり、RAID や LVM ボリュームなど他のデバイスに dm-crypt デバイスをスタックすることが可能です。dm-crypt のマッピングテーブルに関する基本的なドキュメントはカーネルソースに付属しており、最新版は git リポジトリに存在します。
一般的な筋書き
このセクションでは dm-crypt を使用してシステムや個別のファイルシステムのマウントポイントを暗号化する基本的なシナリオを紹介します。このシナリオは他のサブページと必要なところでクロスします。様々な実践的な暗号化手段を習熟するための出発点です。
パーティションや loop デバイスなど、システムを起動するのには使われないデバイスを暗号化する必要がある場合は Dm-crypt/root 以外のファイルシステムの暗号化を見て下さい。
システム全体、特に root パーティションを暗号化したい場合は Dm-crypt/システム全体の暗号化を見て下さい。LUKS 拡張で dm-crypt を使ったり、plain モードの暗号化や、暗号化と LVM など、複数のシナリオが用意されています。
ドライブの準備
このステップではドライブを完全に消去したりパーティショニングする操作について扱います。
Dm-crypt/ドライブの準備を見て下さい。
デバイスの暗号化
このセクションでは cryptsetup コマンドを使って手動で dm-crypt を利用してシステムを暗号化する方法、LUKS やキーファイルの使い方について説明します。
Dm-crypt/デバイスの暗号化を見て下さい。
システム設定
このページではシステムを暗号化する際の mkinitcpio, ブートローダー, crypttab ファイルの設定方法を記述しています
Dm-crypt/システム設定を見て下さい。
スワップデバイスの暗号化
必要ならば、スワップパーティションを暗号化されたシステムに追加することができます。システムによってスワップされたデータを保護するためにスワップパーティションも同じように暗号化しなくてはなりません。このパートでは suspend-to-disk を使う場合と使わない場合に分けて暗号化する方法を示します。
Dm-crypt/スワップの暗号化を見て下さい。
特記事項
このパートでは暗号化されていない boot パーティションのセキュア化や GPG または OpenSSL 暗号化キーファイルの使用、ネットワークを通して起動して鍵を解除する方法、または SSD の discard/TRIM の設定、さらに encrypt フックと複数のディスクの扱い方など、特別な操作について説明します。
Dm-crypt/特記事項を見て下さい。
参照
- dm-crypt - プロジェクトのホームページ
- cryptsetup - LUKS のホームページと FAQ - メインのヘルプ。
- cryptsetup リポジトリ と リリースアーカイブ。
- DOXBOX - Microsoft Windows における LUKS で暗号化されたボリュームの解除をサポート。