DM-Crypt/Swap-Partition verschlüsseln

Aus Gentoo Linux Wiki

Eine Einleitung und Hinweise zur Kernelkonfiguration sowie Installation von DM-Crypt und cryptsetup finden Sie im Artikel DM-Crypt. Dort sind auch weitere Anwendungsbeispiele verlinkt.

Da die LUKS-Erweiterung nur ein standardisiertes Verfahren zur Schlüsselverwaltung durch dm-crypt verschlüsselter Partitionen darstellt (siehe oben), ist die Verwendung von LUKS für Partitionen, die mit einem Zufallsschlüssel verschlüsselt werden sollen nicht notwendig.

Mehr noch: Da cryptsetup-luks keine Zufallsschlüssel aus /dev/random bzw. /dev/urandom lesen kann, müsste ein eigenes initscript verwendet und initscripte des Baselayouts verändert werden. Ein Aufwand, der nicht gerechtfertigt wäre, weil die "von Haus aus" mitgebrachten Scripte bereits eine sichere Verschlüsselung von Partitionen mit Zufallsschlüsseln implementieren.

Folgender Eintrag in /etc/conf.d/dmcrypt sorgt für eine Swappartition, die bei jedem Neustart des Rechners mit einem Zufallsschlüssel neu verschlüsselt wird:

/etc/conf.d/dmcrypt

swap=system-swap
options='-s 256 -d /dev/urandom -c aes-cbc-essiv:sha256 -h sha256'
source='/dev/<SWAP>'

Es wird empfohlen für die Swap-Partition kein lrw-benbi einzusetzen, da dies unter Umständen eine Sicherheitslücke darstellen kann.

Nun wird bei jedem Start:

1. die Partition /dev/<SWAP> (Zeile "source")
2. mit einem 256bit langen Zufallsschlüssel aus /dev/urandom unter Verwendung des Ciphers aes-cbc-essiv:sha256 und des Hash-Algorithmus sha256 verschlüsselt (Zeile "options")
3. als Gerät /dev/mapper/system-swap geöffnet (Zeile "swap")

Das Erzeugen der Swap-Signatur wird durch das initscript für dm-crypt erledigt. In der fstab kann diese verschlüsselte Swappartition ganz normal eingetragen werden:

/etc/fstab

/dev/mapper/system-swap   swap   swap   sw   0   0