लिनक्स कर्नेल उपप्रणाली डीएम-क्रिप्ट और ecryptfs के बीच क्या अंतर है?

Question

मैं लिनक्स में ecryptfs के स्रोत को पढ़ने की कोशिश कर रहा था। क्या कोई मुझे लिनक्स कर्नेल उपप्रणाली डीएम-क्रिप्ट और ecryptfs के बीच अंतर को समझाने में मदद कर सकता है। क्या कोई संदर्भ पुस्तकें हैं जो ecryptfs का स्रोत पेश करती हैं। मेरी सहायता करने के लिए धन्यवाद ।

Answer 1

dm-crypt और eCryptfs दोनों विशेषताएं लिनक्स कर्नेल के अंदर कड़ाई से एकीकृत हैं, जो बाकी डेटा को एन्क्रिप्ट करते हैं। दोनों कम से कम 2006 के बाद से लिनक्स कर्नेल में अपस्ट्रीम रहे हैं, और उपभोक्ताओं और उद्यमों द्वारा भारी उपयोग किया जाता है। प्रत्येक दृष्टिकोण, हालांकि, काफी अलग है।

डीएम-क्रिप्ट "block" स्तर एन्क्रिप्शन प्रदान करता है। डीएम-क्रिप्ट के साथ, लिनक्स कर्नेल एक संपूर्ण एन्क्रिप्टेड ब्लॉक डिवाइस बनाता है, जिसे तब सिस्टम में किसी भी अन्य ब्लॉक डिवाइस की तरह इस्तेमाल किया जा सकता है। इसे विभाजित किया जा सकता है, LVM, RAID में बनाया गया है, या सीधे डिस्क के रूप में उपयोग किया जा सकता है। इसका मतलब यह है कि, आपको आगे एन्क्रिप्शन का उपयोग करने का निर्णय लेना है, और स्पेस को आगे आवंटित करना है, और फिर एक फाइल सिस्टम बनाएं और format बनाएं। यह बेहद तेज़ और कुशल है, खासकर जब आपका सीपीयू इंटेल के AES-NI सीपीयू पर क्रिप्टोग्राफिक त्वरण का समर्थन करता है। हालांकि, पूरे ब्लॉक डिवाइस के लिए केवल एक ही कुंजी उपयोग की जाती है। इस प्रकार, यह एन्क्रिप्शन के लिए एक बदमाश, सब कुछ या कुछ भी दृष्टिकोण नहीं है।

eCryptfs "प्रति-फ़ाइल" एन्क्रिप्शन प्रदान करता है। eCryptfs एक पूरी तरह से POSIX है - लिनक्स के लिए सरल स्टैक्ड फाइल सिस्टम। eCryptfs प्रत्येक फ़ाइल के शीर्षलेख में metadata स्टोर करता है, ताकि एन्क्रिप्टेड फ़ाइलों को होस्ट के बीच कॉपी किया जा सके; फ़ाइल को लिनक्स कर्नेल कीरिंग में उचित कुंजी के साथ डिक्रिप्ट किया जाएगा। एन्क्रिप्टेड फ़ाइल में पहले से मौजूद किसी भी अतिरिक्त जानकारी का ट्रैक रखने की आवश्यकता नहीं है। आप ईक्रिप्ट्स को एक फाइल सिस्टम के रूप में "GnuPG" के रूप में सोच सकते हैं। अलग-अलग फ़ाइलों को अलग-अलग कुंजियों से एन्क्रिप्ट किया जा सकता है, और फ़ाइल नाम वैकल्पिक रूप से एन्क्रिप्ट किया जा सकता है। फ़ाइल विशेषताएँ, हालांकि, मुखौटा नहीं हैं, इसलिए एक हमलावर फ़ाइल के अनुमानित आकार, इसके स्वामित्व, अनुमतियां, और टाइमस्टैम्प देख सकता है। चूंकि eCryptfs एक स्तरित फाइल सिस्टम है, इसलिए आपको समय से पहले स्थान आवंटित करने की आवश्यकता नहीं है। आप बस एक निर्देशिका के ऊपर एक निर्देशिका को माउंट करते हैं (NFS की तरह थोड़ा); ऊपरी निर्देशिका से लिखा और पढ़ने के लिए सभी डेटा (मान लीजिए कि आपके पास कुंजी है) plaintext डेटा जैसा दिखता है, लेकिन ciphertext के रूप में नीचे डिस्क पर लिखे जाने से पहले सभी डेटा एन्क्रिप्ट किया गया है। चूंकि eCryptfs को प्रति-फ़ाइल आधार पर कुंजी और मेटाडेटा को संसाधित करना पड़ता है, इसलिए यह संतृप्त पढ़ने और लिखने पर डीएम-क्रिप्ट की तुलना में थोड़ा धीमा करता है।

अधिकांश लिनक्स वितरण अपने इंस्टॉलरों में कुछ हद तक डीएम-क्रिप्ट का समर्थन करते हैं, साथ ही साथ Android। आप पूरे डिवाइस या डेस्कटॉप, टैबलेट, फोन या सर्वर की रूट स्थापना को एन्क्रिप्ट करने के लिए डीएम-क्रिप्ट का उपयोग कर सकते हैं, लेकिन इसका आमतौर पर मतलब है कि सिस्टम अब अप्रयुक्त बूट नहीं कर सकता है, क्योंकि आपको बूट पर पासफ्रेज़ को इंटरैक्टिव रूप से दर्ज करने की आवश्यकता होगी।

इस कारण से, उबंटू इसके संस्थापक में eCryptfs के लिए समर्थन जोड़ा, इस तरह के their home directories के रूप में डिस्क के ही संवेदनशील भागों, एन्क्रिप्ट करने के लिए उपयोगकर्ताओं को सक्षम करने, और उपयोगकर्ता के login passphrase एक विशेष, लंबे, अनियमित रूप से उत्पन्न कुंजी को खोलने में लाभ। लगभग 3 मिलियन उबंटू उपयोगकर्ता अपनी होम निर्देशिका एन्क्रिप्ट करने के लिए eCryptfs का लाभ उठाते हैं। कुछ वाणिज्यिक network attached storage डिवाइस, जैसे कि Synology, डेटा को एन्क्रिप्ट करने के लिए eCryptfs का उपयोग करें। और उपयोगकर्ता के स्थानीय कैश और क्रेडेंशियल्स को सुरक्षित और एन्क्रिप्ट करने के लिए प्रत्येक Google Chromebook device uses eCryptfs।

पूर्ण प्रकटीकरण: मैं eCryptfs के लेखकों और रखरखाव में से एक हूं।