А теперь опишу технологию шифрования с использованием
dm-crypt.
Как выяснилось,
cryptoloop устарел и есть методы, обеспечивающие бОльшую скорость чтения/записи.
Делаем следующее:
1. В ядре включаем опции (там же, где модули райдов):
<*> Device mapper support
<*> Crypt target support
2. Буду использовать алгоритм
aes с хэшем
md5, так что эти модули тоже надо включиь в ядро (в разделе криптографии):
<*> MD5 digest algorithm
-*- AES cipher algorithms
<*> AES cipher algorithms (x86_64)
3. Далее ставим утилиту
emerge cryptsetup
4. Создаем файловую систему на исходном разделе, который будем шифровать (если уже есть данные, то этот шаг пропускаем, надо лишь проверить раздел на наличие ошибок утилитой
fsck):
mkreiserfs /dev/sda3
5. Создаем криптодевайс crypt0 (будет создан как /dev/mapper/crypt0) на базе раздела /dev/sda3:
cryptsetup -c aes -h md5 -y -b `blockdev --getsize /dev/sda3` create crypt0 /dev/sda3
6. Выполняем шифрование раздела (надо чуть подождать)
dd if=/dev/sda3 of=/dev/mapper/crypt0 bs=4k
Будьте внимательны! Эта команда затрет нешифрованные данные шифрованными, убедитеть в правильности, и в том, что вы проверили раздел на ошибки перед этим.
Итак, готово! Можно подмонтировать
mount /dev/mapper/crypt0 /home
Чтобы размонтировать, надо следующее:
umount /dev/mapper/crypt0 -l
cryptsetup remove /dev/mapper/crypt0
Чтобы при старте подмонтировать, надо следующее:
cryptsetup -c aes -h md5 -y -b `blockdev --getsize /dev/sda3` create crypt0 /dev/sda3
mount /dev/mapper/crypt0 /home
Недостатки:
1. Нельзя делать шифрованный раздел из файла напрямую, надо делать промежуточный шаг в виде iso - loop device
2. При создании устройства требуется полное копирование данных раздела.
Достоинства (о да!!):
1. Можно хранить пароль на флешке и при старте монтировать автоматически (есть служба dmcrypt).
2. Не требуется никаких userspace-утилит для поддержки (для cryptoloop например требуется util-linux, с которым можно хлебнуть горя)
3. Есть возможность зашифровать раздел с имеющимися данными.
4. Скорость записи на
cryptoloop - 11 Мбайт/сек, на
dm-crypt - 34 Мбайт/сек, что назвается просто "отлижите зад"
И еще понаблюдайте за загрузкой проца - разница очень существенна!