내가 이해한 바에 따르면 dm-crypt는 실제 블록 장치를 추상화하여 읽기/암호 해독 및 쓰기/암호화가 자동으로 발생하도록 하는 데 사용됩니다.
그러나 장치가 대상에 매핑되었다고 가정하면 다음과 같습니다.토굴이미 생성되어 파일 시스템이 있고 마운트되어 있습니다. 테이블 맵에 있는 키를 자동으로 사용하는 대신 모든 쓰기(암호화) 및 읽기(암호 해독) 시 키를 요청하도록 dm-crypt에 지시할 수 있습니까?
제가 정말로 묻고 있는 것은 컴퓨터가 종료되거나 하드 드라이브를 도난당한 경우뿐만 아니라 FDE가 실행되는 동안에도 보안이 유지되도록 FDE를 확장할 수 있느냐는 것입니다. 아니면 FBE가 그러한 일을 처리하는 유일한 적절한 방법입니까?
답변1
원칙적으로 dm-crypt는 키를 "잊어서" 매번 다시 입력해야 할 수 있지만 이는 비실용적이며 매우 불편합니다. 파일 시스템 읽기 및 쓰기가 반드시 "파일 열기" 또는 "파일 저장"과 같은 사용자 작업과 직접적으로 일치하는 것은 아닙니다.
- 프로그램이 파일을 열 때 반드시 전체 파일을 RAM에 즉시 로드하지는 않습니다. 파일을 열어두고 필요에 따라 파일의 일부만 읽을 수 있으므로 언제든지 암호 프롬프트가 표시되어 사용자를 방해할 수 있습니다.
- 마찬가지로, 프로그램이 파일에 쓸 때 반드시 전체 파일을 한 번에 쓸 필요는 없습니다. 그렇더라도 쓰기 캐싱은 디스크에 대한 실제 쓰기를 지연시킵니다.
- 시스템의 소프트웨어에 따라 수행 중인 작업과 관계없이(컴퓨터에서 멀리 떨어져 있는 동안에도) 백그라운드에서 파일 시스템에 액세스해야 하는 경우가 있을 수 있습니다. 이로 인해 비밀번호 프롬프트가 더 무작위로 중단됩니다.
실제로 위에서 언급한 이유로 인해 dm-crypt가 지원하지 않기 때문에 원하는 것을 할 수 없습니다.
답변2
내가 당신을 올바르게 이해하지 못하고 키가 런타임에 계속 변경된다고 제안하는 경우 n 키 이전에 작성된 데이터에 돌아가서 액세스하려면 키 기록의 거대한 "맵"을 유지해야 합니다. 또는 키 변경으로 인해 키가 변경될 때마다 디스크 드라이브가 "이미지로 다시 생성"되는 경우 이를 위해서는 매우 빠른 드라이브가 필요합니다.