O Luks é uma camada de criptografia em um dispositivo de bloco, portanto, ele opera em um determinado dispositivo de bloco e expõe um novo dispositivo de bloco, que é a versão descriptografada. O acesso a este dispositivo acionará a criptografia / descriptografia transparente enquanto estiver em uso.
É normalmente usado em uma partição de disco ou em um volume físico LVM que permite várias partições no mesmo contêiner criptografado.
Os LUKs armazenam vários metadados no início do dispositivo. Tem slots para várias senhas. Cada slot tem um sal de 256 bits que é mostrado na tela junto com uma mensagem criptografada. Ao inserir uma frase secreta, o LUKS a combina com cada um dos sais, por sua vez, codificando o resultado e tenta usar o resultado como chaves para descriptografar uma mensagem criptografada em cada slot. Esta mensagem consiste em algum texto conhecido e uma cópia da chave mestra. Se funcionar para qualquer um dos slots, porque o texto conhecido corresponde, a chave mestra é agora conhecida e você pode descriptografar o contêiner inteiro. A chave mestra deve permanecer descriptografada na RAM enquanto o contêiner estiver em uso.
O conhecimento da chave mestra permite o acesso a todos os dados no contêiner, mas não revela as senhas nos espaços de senha, de modo que um usuário não pode ver as senhas de outros usuários.
O sistema não foi projetado para que os usuários possam ver a chave mestra enquanto estão em operação, e essa chave não pode ser alterada sem nova criptografia. O uso de slots de senha, no entanto, significa que as senhas podem ser alteradas sem criptografar novamente o contêiner inteiro e permitem o uso de várias senhas.