普通 dm-crypt 等于无头 LUKS 吗?

普通 dm-crypt 等于无头 LUKS 吗?

如果我使用 LUKS 加密提供的--header=<file>选项,就相当于使用 dm-crypt合理的推诿或者仍然有办法告诉给定的分区是 LUKS 加密的,尽管不包含标头?

答案1

如果使用,--header则仅将数据写入设备。您可以通过创建循环设备并使用luksFormat一次 with 和一次 without来检查这一点--header。如果您使用该选项,则加密的设备不会更改,并且解密的设备会更大。

start cmd: # cd /tmp

start cmd: # dd if=/dev/zero of=luks.img bs=1M count=100

start cmd: # dd if=/dev/zero of=luksheader bs=1M count=10     

start cmd: # cryptsetup --force-password --header luksheader luksFormat /dev/loop0 

start cmd: # cryptsetup --header luksheader luksOpen /dev/loop0 luks

start cmd: # blockdev --getsz /dev/mapper/luks 
204800

start cmd: # blockdev --getsz /dev/loop0
204800

start cmd: # dd if=/dev/loop0 bs=1K count=1 | od
0000000 000000 000000 000000 000000 000000 000000 000000 000000
*
0002000

start cmd: # cryptsetup luksClose luks                         

start cmd: # cryptsetup --force-password luksFormat /dev/loop0                     

start cmd: # cryptsetup luksOpen /dev/loop0 luks               

start cmd: # blockdev --getsz /dev/mapper/luks                 
200704

start cmd: # dd if=/dev/loop0 bs=1K count=1 | command od       
0000000 052514 051513 137272 000400 062541 000163 000000 000000
0000020 000000 000000 000000 000000 000000 000000 000000 000000
0000040 000000 000000 000000 000000 072170 026563 066160 064541
[...]

答案2

对于 LUKS 档案:

在设备上创建一个正常但诱饵/假的 LUKS 标头怎么样?跟着;我可以通过诱饵标头运行 urandom(或媒体上其他更快的噪声填充),以使用该诱饵标头完全填充噪声。

现在,我保存该标头以便在需要时恢复它。接下来,我创建一个带有安全密码的新标头,并创建我的文件系统,并在我想要保存文件时使用它。

一些工作但可执行的 shell 脚本将使这变得快速而简单。当我想使用媒体时,我将正确的 luks 标头写入媒体并拥有对文件系统的完全访问权限。完成后,我擦除标头区域,然后将诱饵 LUKS 标头写回介质。使用可执行的 shell 脚本会非常简单和快速。

在我看来,如果我使用诱饵标头打开 LUKS 媒体,它似乎会被完全擦除,并且由于不存在隐藏卷之类的东西,因此这种举动的嫌疑不会很高。

只是一个想法。

答案3

不,它们在以下方面并不等同合理的推诿。原因是头文件的存在,该文件没有加密隐藏。

相关内容