dm-crypt

提供: ArchWiki
2021年10月25日 (月) 02:24時点におけるK9i (トーク | 投稿記録)による版 (序文を英語版に同期)
ナビゲーションに移動 検索に移動

関連記事

dm-cryptはLinuxカーネルの device mapper 暗号化ターゲットです。Wikipedia:dm-crypt によれば:

Linuxカーネルの透過型ディスク暗号化サブシステム... デバイスマッパーターゲットとして実装され、他のデバイスマッパー変換の上にスタックできます。これによりディスク全体(リムーバブルメディアを含む)、パーティション、ソフトウェアRAIDボリューム、論理ボリューム、およびファイルを暗号化できます。これはブロックデバイスとして表示され、ファイルシステム、スワップ、またはLVM物理ボリュームとして使用することができます。

使用法

Dm-crypt/ドライブの準備
このステップではドライブを完全に消去したりパーティショニングする操作について扱います。
Dm-crypt/デバイスの暗号化
このセクションでは cryptsetup コマンドを使って手動で dm-crypt を利用してシステムを暗号化する方法、LUKSキーファイルの使い方について説明します。
Dm-crypt/システム設定
このページではシステムを暗号化する際の mkinitcpio, ブートローダー, crypttab ファイルの設定方法を記述しています
Dm-crypt/スワップの暗号化
必要ならば、スワップパーティションを暗号化されたシステムに追加することができます。システムによってスワップされたデータを保護するためにスワップパーティションも同じように暗号化しなくてはなりません。このパートでは suspend-to-disk を使う場合と使わない場合に分けて暗号化する方法を示します。
Dm-crypt/特記事項
このパートでは暗号化されていない boot パーティションのセキュア化GPG または OpenSSL 暗号化キーファイルの使用ネットワークを通して起動して鍵を解除する方法、または SSD の discard/TRIM の設定、さらに encrypt フックと複数のディスクの扱い方など、特別な操作について説明します。

一般的な筋書き

Dm-crypt/root 以外のファイルシステムの暗号化
パーティションloop デバイスなど、システムを起動するのには使われないデバイスを暗号化する必要がある場合は Dm-crypt/root 以外のファイルシステムの暗号化を見て下さい。
Dm-crypt/システム全体の暗号化
システム全体、特に root パーティションを暗号化したい場合は Dm-crypt/システム全体の暗号化を見て下さい。LUKS 拡張で dm-crypt を使ったり、plain モードの暗号化や、暗号化と LVM など、複数のシナリオが用意されています。

参照

  • dm-crypt - プロジェクトのホームページ
  • cryptsetup - LUKS のホームページと FAQ - メインのヘルプ。