Chinaunix首页 | 论坛 | 博客
  • 博客访问: 5771897
  • 博文数量: 675
  • 博客积分: 20301
  • 博客等级: 上将
  • 技术积分: 7671
  • 用 户 组: 普通用户
  • 注册时间: 2005-12-31 16:15
文章分类

全部博文(675)

文章存档

2012年(1)

2011年(20)

2010年(14)

2009年(63)

2008年(118)

2007年(141)

2006年(318)

分类: LINUX

2008-10-17 02:47:29

随着智能手机的计算能力和存储能力的提高,手机中将会存放越来越多的私有数据,这些数据的泄密可能造成严重后果。手机一直是我们的重点之一,对于一些重要的功能我们要求鉴权后才能使用,但这只能挡住初级的,只能防君子不能防小人,所以我们希望把重要的数据进行加密后再保存。为此,今天花了一点时间去了解 磁盘加密的方法。
方法一: 下载并编译util-linux
~sluskyb/hacks/util-linux/losetup-combined.patch


tar zxvf util-linux-2.12.tar.gz
cd util-linux-2.12
patch -p1 < ../losetup-combined.patch
patch -p1 < ../util-linux-2.12-kernel-2.6.patch
(如果有_syscall5之类编译错误,将它换成新的调用方式syscall)
make;make install
编译内核(已经支持cryptoloop则跳过此步)
make menuconfig
Device Drivers >Block Devices>Loopback device support
BLK_DEV_CRYPTOLOOP
加载模块
modprobe cryptoloop
(以及加密模块)
创建loop设备
dd if=/dev/zero f=~/cryptoloop.image bs=1M count=10
losetup -e aes-256 /dev/loop0 ~/cryptoloop.image
(提示输入密码)
创建文件并加载
mkfs.ext3 /dev/loop0
mkdir /mnt/crypto
mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256
(提示输入密码)
卸载
umount /mnt/crypto
losetup -d /dev/loop0
重新加载
losetup -e aes-256 /dev/loop0 ~/cryptoloop.image
mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256
 
cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码),这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。
cryptoloop的缺点是只能针对loop设备,而且对日志型文件系统无效。

注意:如果出现问题,可以尝试:

$ modprobe cryptoloop aes
$ dd if=/dev/zero of=test.img bs=1024 count=1024
$ losetup /dev/loop0 -e aes -k 256 test.img
$ losetup -a
/dev/loop0: [0808]:7000939 (test.img), encryption aes (type 18)

参考:



方法二:device-mapper crypto
下载并编译cryptsetup(已经有了就跳过) wget
cd cryptsetup-0.1
./configure;make;make install
编译内核(已经支持则跳过此步)
make menuconfig
Device Drivers > Multi-device support (RAID and LVM)
CONFIG_BLK_DEV_DM
CONFIG_DM_CRYPT
加载模块
modprobe dm-crypt
(以及加密模块)
 创建loop设备
dd if=/dev/zero f=~/dm-crypt.image bs=1M count=10
losetup /dev/loop0 ~/dm-crypt.image
建立device-mapper
cryptsetup -y create dm-crypt /dev/loop0
(提示输入密码)
创建文件系统并加载
mkfs.ext3 /dev/mapper/dm-crypt
mount /dev/mapper/dm-crypt /mnt/crypto
卸载
umount /mnt/crypto/
cryptsetup remove dm-crypt
losetup -d /dev/loop0
重新加载
cryptsetup -y create dm-crypt /dev/loop0
mount /dev/mapper/dm-crypt /mnt/crypto
 

device-mapper crypto 的实现在drivers/md目录下,相对来说要复杂得多,没有来得及仔细阅读。

方法三:ecryptfs
下载并编译
~dhowells/keyutils/keyutils-1.2.tar.bz2
tar jxf keyutils-1.2.tar.bz2
cd keyutils-1.2
make;make install
tar jxf ecryptfs-20070306.tar.bz2
cd ecryptfs-20070306/ecryptfs-util
./configure;make;make install
编译内核
make menuconfig
File systems>Miscellaneous filesystems
CONFIG_ECRYPT_FS
加载模块
modprobe ecryptfs
(以及加密模块)
加载
mkdir /root/crypt
mkdir /mnt/crypt
mount -t ecryptfs /root/crypt /mnt/crypt
(提示输入密码和算法)
 卸载
umount /mnt/crypt
重新加载
mount -t ecryptfs /root/crypt /mnt/crypt
 (提示输入密码和算法)
 

看来ecryptfs的特点是能够对目录进行加密,而不必加密整个磁盘。直接读取原始目录中的文件,只能读到加密后的数据,要正确读取数据,只有先把该目录 用ecryptfs文件系统格式加载到另外一个目录,之后才能读取。而在加载时要指定密码和加密算法,这就起到保密作用。如果加载时指定错误的密码或加密 算法,仍然可以加载而不会出错,但读出的数据是无效的。
ecryptfs的代码在fs/ecryptfs目录下,只有比较新的kernel版本才有,我用的是linux-2.6.21。它的实现与前面两种方法不同,它完全是按文件系统的方式来实现的。
以上几种加密方法,在加载时都要输入密码,为了使用上的方便,可以与PAM+libpam-mount插件集成起来,用当前用户的密码作为加密的密码,这样就只需要在登录时输入一次就够了。
阅读(2597) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~