# Форум на русском языке  > Основы информационной безопасности  > Linux  >  LUKS (шифрование в Linux)

## Макcим

Современные дистрибутивы Linux предлагают при установке зашифровать диск вместе со swap-файлом с помощью LUKS + LVM. Теоретически надежность такой защиты ограничивается устойчивостью пароля к бруту, поскольку алгоритмы шифрования достаточно надежные. Пароль пользователя не является ключем шифрования, ключ шифрования хранится в заголовке вместе с алгоритмом шифрования и криптографической солью. Исходный код ПО доступен и распространяется свободно. 

Алгоритм можно представить в таком виде:

1) Пользователь вводить пароль, к нему добавляется соль, происходит хэширование. 

2) Если хэш совпал с тем, который хранится в заголовке, значит запускается расшифровка диска. 

Почему нельзя использовать открытый код и изменить алгоритм, чтобы пропустить проверку хэша и расшифровать данные с помощью ключа, на доступ к которому пользователь вводит пароль?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Макcим

Разобрался как это работает и понял, что спрашивал бред  :Smiley:  Пользователь задает пароль на расшифровку ключа. Без ключа нет доступа к данным. Шифрование лежит ниже уровня файловой системы. Если шифруется система полностью, swap находится на LVM разделе. Угрозы у такой системы всего две - слабый пользовательский пароль и доступность данных (в том числе главного ключа) во время работы машины. Если злоумышленник владеет программированием и ему доступен /boot раздел на какое-то время, возможно записать вводимый пароль программно. Пароль также можно подсмотреть с помощью скрытого видеонаблюдения. Открытая реализация AES-256 (используется по умолчанию) достаточно надежна и взломать её не получится. Я не много доработал сиситему и внутри Linux развернул виртуалку с Win 7. Через общие папки удобно работать с документами. В Win 7 работает сканер и принтер. Еще один важный момент, криптованная машина чувствительна к сбоям HDD, а это чревато полной потерей всех данных. Я использую rsync для регулярного копирования всей информации на два криптованных (тем же luks) внешних носителя.

----------

