É improvável que você esteja feliz com as enormes latências introduzidas pela LUKS em mídia linear. Uma idéia melhor é canalizar a saída de tar através do OpenSSL, criptografando-a com uma cifra de streaming antes de enviá-la ao dispositivo de fita.
Eu queria saber se era possível usar a criptografia LUKS com unidades de fita, QIC por exemplo.
Estou usando o LUKS para unidades USB e discos internos, até mesmo DVDs e CDROMs . Mas eu estava pensando em talvez usá-lo para criptografar as unidades de fita também.
Devo usar apenas cryptsetup luksFormat
diretamente na unidade de fita e ativar o dispositivo com cryptsetup luksOpen
?
É improvável que você esteja feliz com as enormes latências introduzidas pela LUKS em mídia linear. Uma idéia melhor é canalizar a saída de tar através do OpenSSL, criptografando-a com uma cifra de streaming antes de enviá-la ao dispositivo de fita.
Dispositivos de fita não são adequados para acesso aleatório (eles não fornecem acesso aleatório), ou seja, eles não são dispositivos de bloco. E o LUKS é projetado para dispositivos de bloco, como, e. O XFS é um sistema de arquivos para dispositivos de bloco. Você não pode mkfs.xfs
em um dispositivo de fita, pode?
Assim, vá com a criptografia de criptografia de fluxo OpenSSL via pipe, como sugerido por Ignacio.
Semelhante ao design do LUKS, você pode gerar uma grande chave aleatória para a criptografia de streaming que, em seguida, criptografa como um arquivo, por exemplo, com gpg
. Isso significa que você é flexível para alterar essa 'chave de envelope' e pode criptografar a primeira chave com várias chaves públicas, de modo que várias pessoas tenham acesso a ela (sem a necessidade de uma troca de chaves talvez insegura).
Não é uma resposta à sua pergunta, mas uma sugestão alternativa para criptografar um backup em fita.
Você pode usar o sistema de arquivos FUSE encfs
em ordem inversa para montar um caminho local em uma pasta especial, onde o conteúdo dessa pasta é uma versão criptografada do caminho de origem. Se você tar
dessa pasta, você estará escrevendo um arquivo de arquivos criptografados.
Quando chegar a hora de restaurar os dados, extraia-os para uma pasta, execute encfs
normalmente e, em seguida, você poderá ver todos os seus arquivos originais.
A principal desvantagem desse método é que os nomes dos arquivos também são criptografados, então é improvável que você consiga restaurar apenas alguns arquivos da fita - você terá que ler a fita inteira de volta no disco local, copiar a descriptografia os arquivos que você precisa e exclua tudo novamente.
Uma vantagem é que tar
só vê arquivos normais, portanto, seu tratamento de vários volumes funcionará bem e dividirá arquivos entre fitas. Você pode até mesmo restaurar uma fita (ou fazer uma restauração parcial), pois os arquivos encfs
são independentes (um arquivo criptografado corresponde a um arquivo real), portanto, independentemente de quantos arquivos criptografados você retirar da fita, os arquivos poderão ser descriptografados. Você simplesmente não saberá quais são os nomes dos arquivos até depois de copiá-los da fita.
Tags encryption luks tape