O dm-crypt pode ser configurado para solicitar a chave em cada leitura / escrita?

0

Meu entendimento é que o dm-crypt serve para abstrair o dispositivo de blocos real para que a leitura / decodificação e gravação / criptografia ocorram automaticamente.

No entanto, assumindo que um mapeamento de dispositivo com destino: crypt é criado, ele possui um sistema de arquivos e já está montado, é possível dizer ao dm-crypt para solicitar a chave em cada escrever (criptografia) e ler (descriptografia) em vez de usar automaticamente a chave presente no mapeamento da tabela?

O que estou realmente perguntando aqui é se podemos estender o FDE para ter segurança em tempo de execução e não apenas quando o computador está desligado ou quando o disco rígido é roubado? Ou o FBE é o único método apropriado para essas coisas?

    
por Zomp 21.04.2017 / 00:26

2 respostas

1

Em princípio, seria possível que o dm-crypt "esquecesse" a chave e exigisse que ela fosse digitada novamente, mas seria impraticável e muito inconveniente. As leituras e gravações no sistema de arquivos não correspondem necessariamente diretamente às operações do usuário, como "abrir um arquivo" ou "salvar um arquivo".

  • Quando um programa abre um arquivo, ele não necessariamente carrega tudo na RAM de uma só vez. Ele pode manter o arquivo aberto e apenas ler partes dele conforme necessário, interrompendo você com prompts de senha em horários arbitrários.
  • Da mesma forma, quando um programa grava em um arquivo, ele não escreve necessariamente a coisa toda de uma só vez. E mesmo que isso ocorra, o cache de gravação pode atrasar a gravação real no disco.
  • Dependendo do software que está no seu sistema, pode haver coisas que precisam acessar o sistema de arquivos em segundo plano, independentemente do que você esteja fazendo (e possivelmente quando estiver longe do computador). Isso levaria a mais interrupções aleatórias com prompts de senha.

Na prática, você não pode fazer o que quiser porque o dm-crypt não suporta, já que é impraticável pelas razões acima.

    
por 22.04.2017 / 06:02
1

Se eu estou lendo você corretamente e você está propondo que a chave está constantemente mudando durante o tempo de execução, então um grande 'mapa' do histórico de chaves precisaria ser mantido para voltar e acessar os dados que foram escritos n chaves atrás. Ou isso, ou se a mudança de chave resultar em que a unidade de disco seja 're-imaged' toda vez que a chave mudar você precisaria de algum tipo de disco seriamente rápido para conseguir isso.

    
por 21.04.2017 / 23:47