LinuCレベル3 303試験の出題範囲「325.3 暗号化ファイルシステム」の技術的内容についての解説をまとめました。
重要度 3 説明 暗号化ファイルシステムを設定できることが求められる。 主要な知識範囲 ブロックデバイスとファイルシステムの暗号化の理解。
dm-cryptを使用して LUKS でのブロックデバイスの暗号化。eCryptfs を使用したファイルシステムの暗号化。ホームディレクトリとPAMの統合を含む。plain dm-crypt とEncFSの知識。重要なファイル、
用語、ユーティリティcryptsetupcryptmount/etc/crypttabecryptfsdecryptfs-* コマンドmount.ecryptfs, umount.ecryptfspam_ecryptfs
eCryptfsの概要
eCryptfsは暗号化スタック型のファイルシステムです。
eCryptfsは、単語の末尾にfs(ファイルシステム)と書かれていることからわかるようにeCryptfsはLinuxのファイルシステムの一つです。CryptはITの分野では暗号を意味します。
eCryptfs は、暗号化スタック型の Linux ファイルシステムです。eCryptfs は、書き込まれる各ファイルのヘッダーに暗号化メタデータを保存します。これにより、暗号化されたファイルをホスト間でコピーできます。ファイルは Linux カーネルのキーリング内の適切なキーで復号されます。暗号化されたファイル自体に既に含まれている情報以外の追加情報を追跡する必要はありません。eCryptfs は、一種の「gnupgfs」、あるいは「ファイルシステムとしての gnupg」と考えることができます。
ecryptfs-*コマンドの概要
ecryptfs-から始まるコマンドを使用してeCryptfsの管理を行います。
LUCKSの概要
LUKSはLinuxのディスク暗号化の標準仕様です。ext4などのファイルシステムに依存することなくデバイスの暗号化を行います。
Linux Unified Key Setup-on-disk-format (LUKS) は、暗号化されたデバイスの管理を簡素化するツールセットを提供します。LUKS を使用すると、ブロックデバイスを暗号化し、複数のユーザーキーでマスターキーを復号化できるようになります。パーティションの一括暗号化には、このマスターキーを使用します。
Red Hat Enterprise Linux は、LUKS を使用してブロックデバイスの暗号化を実行します。デフォルトではインストール時に、ブロックデバイスを暗号化するオプションが指定されていません。ディスクを暗号化するオプションを選択すると、コンピューターを起動するたびにパスフレーズの入力が求められます。このパスフレーズは、パーティションを復号化するバルク暗号鍵のロックを解除します。デフォルトのパーティションテーブルを変更する場合は、暗号化するパーティションを選択できます。この設定は、パーティションテーブル設定で行われます。
LUKSの実装はdm-cryptを使用します。
dm-cryptはLinuxカーネルの device mapper 暗号化ターゲットです。Wikipedia:dm-crypt によれば:Linuxカーネルの透過型ディスク暗号化サブシステム… デバイスマッパーターゲットとして実装され、他のデバイスマッパー変換の上にスタックできます。これによりディスク全体(リムーバブルメディアを含む)、パーティション、ソフトウェアRAIDボリューム、論理ボリューム、およびファイルを暗号化できます。これはブロックデバイスとして表示され、ファイルシステム、スワップ、またはLVM物理ボリュームとして使用することができます。
dm-cryptのdmはdevice mapperの頭文字です。
