dm-crypt

提供: ArchWiki
ナビゲーションに移動 検索に移動

関連記事

dm-cryptはLinuxカーネルの device mapper 暗号化ターゲットです。Wikipedia:dm-crypt によれば:

Linuxカーネルの透過型ディスク暗号化サブシステム... デバイスマッパーターゲットとして実装され、他のデバイスマッパー変換の上にスタックできます。これによりディスク全体(リムーバブルメディアを含む)、パーティション、ソフトウェアRAIDボリューム、論理ボリューム、およびファイルを暗号化できます。これはブロックデバイスとして表示され、ファイルシステム、スワップ、またはLVM物理ボリュームとして使用することができます。

使用法

Dm-crypt/ドライブの準備
ドライブを完全に消去するような操作やパーティショニング に関する dm-crypt 固有のポイントを扱います。
Dm-crypt/デバイスの暗号化
cryptsetupコマンドを介してシステムを暗号化するためにdm-cryptを手動で利用する方法について説明します。dm-cryptの暗号化オプションの例、キーファイルの作成、キー管理およびバックアップとリストアのためのLUKS固有のコマンドについて説明します。
Dm-crypt/システム設定
システムを暗号化する際、mkinitcpioブートローダー、およびcrypttabファイルを構成する方法を記述しています。
Dm-crypt/スワップの暗号化
必要な場合、暗号化されたシステムにスワップパーティションを追加する方法について説明します。システムによってスワップされたデータを保護するためにスワップパーティションも同じように暗号化しなくてはなりません。このパートでは、suspend-to-disk をサポートしない方法とサポートする方法について詳しく説明します。
Dm-crypt/特記事項
暗号化されていない boot パーティションのセキュア化のような特別な操作、GPG または OpenSSL 暗号化キーファイルの使用ネットワークを通して起動して鍵を解除する方法、さらに SSD の discard/TRIM の設定や、encrypt フックと複数のディスクを取り扱うセクションを扱います。

一般的な筋書き

Dm-crypt/root 以外のファイルシステムの暗号化
パーティションloop デバイスなど、システムを起動するのには使われないデバイスを暗号化する必要がある場合は Dm-crypt/root 以外のファイルシステムの暗号化を見て下さい。
Dm-crypt/システム全体の暗号化
システム全体、特に root パーティションを暗号化したい場合は Dm-crypt/システム全体の暗号化を見て下さい。LUKS 拡張で dm-crypt を使ったり、plain モードの暗号化や、暗号化と LVM など、複数のシナリオが用意されています。

参照

  • dm-crypt - プロジェクトのホームページ
  • cryptsetup - LUKS のホームページと FAQ - メインのヘルプ。