Was ist der Unterschied zwischen dem Linux-Kernel-Subsystem dm-crypt und ecryptfs? [closed]

Lesezeit: 4 Minuten

Benutzer-Avatar
Benutzer2672048

Ich habe versucht, die Quelle von Ecryptfs in Linux zu lesen. Könnte mir jemand helfen, den Unterschied zwischen dem Linux-Kernel-Subsystem dm-crypt und ecryptfs zu erklären. Gibt es Nachschlagewerke, die die Quelle von ecryptfs vorstellen. danke für die Hilfe .

dm-crypt und eCryptfs sind beide Funktionen, die eng in den Linux-Kernel integriert sind und ruhende Daten verschlüsseln. Beide sind seit mindestens 2006 im Linux-Kernel enthalten und werden von Verbrauchern und Unternehmen stark genutzt. Der Ansatz, den jeder verfolgt, ist jedoch ziemlich unterschiedlich.

dm-crypt bietet “Block“-Level-Verschlüsselung. Mit dm-crypt erstellt der Linux-Kernel ein vollständig verschlüsseltes Blockgerät, das dann wie jedes andere Blockgerät im System verwendet werden kann. Es kann partitioniert, in eine LVM, ÜBERFALLEN, oder direkt als Datenträger verwendet werden. Dies bedeutet jedoch, dass Sie sich im Voraus für die Verwendung der Verschlüsselung entscheiden und den Speicherplatz im Voraus zuweisen und dann and erstellen müssen Format ein Dateisystem. Es ist extrem schnell und effizient, besonders wenn Ihre CPU die von Intel unterstützt AES-NI kryptografische Beschleunigung auf der CPU. Es wird jedoch nur ein einziger Schlüssel für das gesamte Blockgerät verwendet. Als solches ist es ein etwas unverblümter Alles-oder-Nichts-Ansatz für die Verschlüsselung.

eCryptfs bietet “pro Datei”-Verschlüsselung. eCryptfs ist ein vollständig Posix-kompatibles gestapeltes Dateisystem für Linux. eCryptfs speichert Metadaten im Header jeder Datei, damit verschlüsselte Dateien zwischen Hosts kopiert werden können; Die Datei wird mit dem richtigen Schlüssel im Schlüsselbund des Linux-Kernels entschlüsselt. Es besteht keine Notwendigkeit, zusätzliche Informationen zu verfolgen, abgesehen von dem, was bereits in der verschlüsselten Datei selbst enthalten ist. Sie können sich eCryptfs als eine Art “GnuPG als Dateisystem”. Verschiedene Dateien können mit unterschiedlichen Schlüsseln verschlüsselt werden, und Dateinamen können optional verschlüsselt werden. Dateiattribute werden jedoch nicht maskiert, sodass ein Angreifer die ungefähre Größe einer Datei, ihre Eigentümer, Berechtigungen und Zeitstempel sehen könnte. Da eCryptfs ein mehrschichtiges Dateisystem ist, müssen Sie den Speicherplatz nicht im Voraus zuweisen, sondern hängen einfach ein Verzeichnis über ein anderes (ein bisschen wie NFS); Alle Daten, die in das obere Verzeichnis geschrieben und aus diesem gelesen werden (vorausgesetzt, Sie haben den Schlüssel), sehen so aus Klartext Daten, aber alle Daten werden verschlüsselt, bevor sie unten auf die Festplatte geschrieben werden Geheimtext. Da eCryptfs Schlüssel und Metadaten pro Datei verarbeiten muss, ist es bei gesättigten Lese- und Schreibvorgängen etwas langsamer als dm-crypt.

Die meisten Linux-Distributionen unterstützen dm-crypt bis zu einem gewissen Grad in ihren Installationsprogrammen sowie Android. Sie können dm-crypt verwenden, um das gesamte Gerät oder die Root-Installation eines Desktops, Tablets, Telefons oder Servers zu verschlüsseln, aber das bedeutet normalerweise, dass das System nicht mehr unbeaufsichtigt booten kann, da Sie beim Booten interaktiv eine Passphrase eingeben müssen.

Aus diesem Grund hat Ubuntu in seinem Installationsprogramm Unterstützung für eCryptfs hinzugefügt, sodass Benutzer nur sensible Teile der Festplatte verschlüsseln können, z ihre Heimatverzeichnisseund nutzen Sie die des Benutzers Login-Passphrase einen speziellen, langen, zufällig generierten Schlüssel auszupacken. Ungefähr 3 Millionen Ubuntu-Benutzer nutzen eCryptfs, um ihr Home-Verzeichnis zu verschlüsseln. Einige kommerzielle Network Attached Storage Geräte, wie z Synologie, verwenden Sie eCryptfs, um die Daten im Ruhezustand zu verschlüsseln. Und jeder Das Google Chromebook-Gerät verwendet eCryptfs um den lokalen Cache und die Anmeldeinformationen des Benutzers im Ruhezustand zu sichern und zu verschlüsseln.

Vollständige Offenlegung: Ich bin einer der Autoren und Betreuer von eCryptfs.

  • Sehr interessant. Würden Sie immer noch eCryptfs bevorzugen?

    – 3pic

    16. Juni 2015 um 12:50 Uhr

  • @3pic natürlich, er ist einer der Autoren und Betreuer von eCryptfs. Aus neutraler Sicht sollten Sie berücksichtigen, dass die Verschlüsselung pro Datei von eCryptfs leistungsschwache Hardware verlangsamen kann, aber ein hohes Maß an Flexibilität ermöglicht, wodurch der Verschlüsselungsprozess für Ihre Benutzer optional und ohne Formatierung umkehrbar ist, wenn Sie die ändern müssen MBT-Layout. dm-crypt ist bequem, wenn die Verschlüsselung dauerhaft sein muss und das System menschliche Operatoren hat, ansonsten können Sie eCryptfs verwenden und es wird Ihre Daten sicher halten, nachdem Sie das fs unmounten. Bewahren Sie den Schlüssel einfach sicher auf. 😉

    Benutzer6901258

    11. Januar 2017 um 0:19 Uhr

  • Beachten Sie die Unterschiede in der Schreibleistung, Quelle: superuser.com/questions/700174/…

    – Jonathan

    22. November 2017 um 0:18 Uhr

1137330cookie-checkWas ist der Unterschied zwischen dem Linux-Kernel-Subsystem dm-crypt und ecryptfs? [closed]

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy

Contact - Terms and Conditions - Privacy Policy