Odm-crypt é um subsistema decriptografia de disco transparente, nas versões 2.6 e posteriores donúcleo do Linux e noDragonFly BSD. Ele faz parte da infraestrutura domapeador de dispositivos e usa rotinas criptográficas daAPI Crypto do núcleo. Ao contrário de seu antecessorcryptoloop, o dm-crypt foi projetado para suportar modos avançados de operação, como XTS, LRW e ESSIV (veja ateoria de criptografia de disco), para evitarataques de marca d'água.[1] Além disso, o dm-crypt também resolve alguns problemas de confiabilidade do cryptoloop.[2]
O dm-crypt é implementado como um alvo do mapeador de dispositivos e pode ser empilhado sobre outras transformações do mapeador de dispositivos. Ele pode, assim, criptografar discos inteiros (incluindomídia removível),partições, volumesRAID de software,volumes lógicos earquivos. Ele aparece como um dispositivo de bloco, que pode ser usado para fazer backup desistemas de arquivos,swap ou como umvolume físico deLVM.
Algumasdistribuições Linux suportam o uso de dm-crypt no sistema de arquivos raiz. Essas distribuições usaminitrd para solicitar ao usuário que insira uma senha no console ou insira umcartão inteligente antes do processo normal de inicialização.
O alvo do mapeador de dispositivos dm-crypt reside inteiramente no espaço do núcleo, e está preocupado apenas com a criptografia dodispositivo de bloco - ele não interpreta nenhum dado em si. Ele depende defront-ends do espaço do usuário para criar e ativar volumes criptografados e gerenciar a autenticação. Pelo menos dois frontends estão atualmente disponíveis:ocryptsetup e ocryptmount.
A interface da linha de comandocryptsetup, por padrão, não grava nenhum cabeçalho no volume criptografado e, portanto, fornece apenas o essencial: as configurações de criptografia devem ser fornecidas toda vez que o disco for montado (embora normalmente empregado com scripts automatizados) e apenas umachave pode ser usada por volume. A chave decriptografia simétrica é derivada diretamente dafrase secreta fornecida.
Por não ter um "sal", o uso de cryptsetup é menos seguro neste modo do que no caso doLinux Unified Key Setup (LUKS).[3] No entanto, a simplicidade do cryptsetup torna-o útil quando combinado com software de terceiros, por exemplo, com autenticação decartão inteligente.
Ocryptsetup também fornece comandos para lidar com o formato de disco do LUKS. Esse formato fornece recursos adicionais, comogerenciamento de chaves ealongamento de chaves (usando oPBKDF2), e lembra a configuração do volume criptografado nas reinicializações.[4]
A interfacecryptmount é uma alternativa à ferramenta "cryptsetup" que permite que qualquer usuáriomonte e desmonte um sistema de arquivos dm-crypt quando necessário, sem precisar de privilégios desuperusuário após o dispositivo ter sido configurado por um superusuário.
