开发Linux系统下的磁盘加密方法详解-CUDev-ChinaUnix博客

CUDevcudev.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

CUDev

博客访问： 5760675
博文数量： 675
博客积分： 20301
博客等级：上将
技术积分： 7671
用户组：普通用户
注册时间： 2005-12-31 16:15

文章分类

全部博文（675）

Web架构（4）
Thinking（1）
SF（2）
Kernel and Drive（70）
perl（2）
QT4学习笔记（9）
网络编程（52）
嵌入式Linux（4）
服务器管理（64）
操作系统研究（11）
Linux深入学习（38）
算法研究（29）
网络安全（34）
python（19）
心情日记（6）
程序设计（127）
Linux应用（134）
Shell（64）
未分配的博文（5）

文章存档

2012年（1）

2011年（20）

2010年（14）

2009年（63）

2008年（118）

2007年（141）

2006年（318）

我的朋友

相关博文

开发Linux系统下的磁盘加密方法详解

分类： LINUX

2008-10-17 02:47:29

随着智能手机的计算能力和存储能力的提高，手机中将会存放越来越多的私有数据，这些数据的泄密可能造成严重后果。手机一直是我们的重点之一，对于一些重要的功能我们要求鉴权后才能使用，但这只能挡住初级的，只能防君子不能防小人，所以我们希望把重要的数据进行加密后再保存。为此，今天花了一点时间去了解磁盘加密的方法。
方法一：下载并编译util-linux
~sluskyb/hacks/util-linux/losetup-combined.patch

tar zxvf util-linux-2.12.tar.gz
cd util-linux-2.12
patch -p1 < ../losetup-combined.patch
patch -p1 < ../util-linux-2.12-kernel-2.6.patch
(如果有_syscall5之类编译错误，将它换成新的调用方式syscall)
make;make install
编译内核(已经支持cryptoloop则跳过此步)
make menuconfig
Device Drivers >Block Devices>Loopback device support
BLK_DEV_CRYPTOLOOP
加载模块
modprobe cryptoloop
(以及加密模块)
创建loop设备
dd if=/dev/zero f=~/cryptoloop.image bs=1M count=10
losetup -e aes-256 /dev/loop0 ~/cryptoloop.image
(提示输入密码)
创建文件并加载
mkfs.ext3 /dev/loop0
mkdir /mnt/crypto
mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256
(提示输入密码)
卸载
umount /mnt/crypto
losetup -d /dev/loop0
重新加载
losetup -e aes-256 /dev/loop0 ~/cryptoloop.image
mount -t ext3 ~/cryptoloop.image /mnt/crypto/ -oencryption=aes-256

cryptoloop就是一种transfer的实现。至于使用哪种transfer及transfer的参数(如密码)，这可以通过LOOP_SET_STATUS64的ioctrl系统调用来完成(mount命令就是这样实现的)。
cryptoloop的缺点是只能针对loop设备，而且对日志型文件系统无效。

注意：如果出现问题，可以尝试：

$ modprobe cryptoloop aes
$ dd if=/dev/zero of=test.img bs=1024 count=1024
$ losetup /dev/loop0 -e aes -k 256 test.img
$ losetup -a
/dev/loop0: [0808]:7000939 (test.img), encryption aes (type 18)

参考：

方法二：device-mapper crypto
下载并编译cryptsetup（已经有了就跳过） wget
cd cryptsetup-0.1
./configure;make;make install
编译内核（已经支持则跳过此步）
make menuconfig
Device Drivers > Multi-device support (RAID and LVM)
CONFIG_BLK_DEV_DM
CONFIG_DM_CRYPT
加载模块
modprobe dm-crypt
(以及加密模块)
创建loop设备
dd if=/dev/zero f=~/dm-crypt.image bs=1M count=10
losetup /dev/loop0 ~/dm-crypt.image
建立device-mapper
cryptsetup -y create dm-crypt /dev/loop0
(提示输入密码)
创建文件系统并加载
mkfs.ext3 /dev/mapper/dm-crypt
mount /dev/mapper/dm-crypt /mnt/crypto
卸载
umount /mnt/crypto/
cryptsetup remove dm-crypt
losetup -d /dev/loop0
重新加载
cryptsetup -y create dm-crypt /dev/loop0
mount /dev/mapper/dm-crypt /mnt/crypto

device-mapper crypto 的实现在drivers/md目录下，相对来说要复杂得多，没有来得及仔细阅读。

方法三：ecryptfs
下载并编译
~dhowells/keyutils/keyutils-1.2.tar.bz2
tar jxf keyutils-1.2.tar.bz2
cd keyutils-1.2
make;make install
tar jxf ecryptfs-20070306.tar.bz2
cd ecryptfs-20070306/ecryptfs-util
./configure;make;make install
编译内核
make menuconfig
File systems>Miscellaneous filesystems
CONFIG_ECRYPT_FS
加载模块
modprobe ecryptfs
(以及加密模块)
加载
mkdir /root/crypt
mkdir /mnt/crypt
mount -t ecryptfs /root/crypt /mnt/crypt
(提示输入密码和算法)
卸载
umount /mnt/crypt
重新加载
mount -t ecryptfs /root/crypt /mnt/crypt
(提示输入密码和算法)

看来ecryptfs的特点是能够对目录进行加密，而不必加密整个磁盘。直接读取原始目录中的文件，只能读到加密后的数据，要正确读取数据，只有先把该目录用ecryptfs文件系统格式加载到另外一个目录，之后才能读取。而在加载时要指定密码和加密算法，这就起到保密作用。如果加载时指定错误的密码或加密算法，仍然可以加载而不会出错，但读出的数据是无效的。
ecryptfs的代码在fs/ecryptfs目录下，只有比较新的kernel版本才有，我用的是linux-2.6.21。它的实现与前面两种方法不同，它完全是按文件系统的方式来实现的。
以上几种加密方法，在加载时都要输入密码，为了使用上的方便，可以与PAM+libpam-mount插件集成起来，用当前用户的密码作为加密的密码，这样就只需要在登录时输入一次就够了。

阅读(2576) | 评论(0) | 转发(0) |

上一篇：unrar-free的一个内存泄露

下一篇：当Linux用尽内存

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6