私が理解しているように、dm-cryptは実際のブロックデバイスを抽象化し、読み取り/パスワードの復号化と書き込み/暗号化が自動的に行われるようにするために使用されます。
ただし、デバイスがターゲットにマッピングされていると仮定すると、次のようになります。土掘りすでに作成され、ファイルシステムがあり、マウントされています。テーブルマップのキーを自動的に使用するのではなく、すべての書き込み(暗号化)および読み取り(暗号化解除)時にキーを要求するようにdm-cryptに指示できますか?
私が本当に尋ねているのは、コンピュータがシャットダウンしたりハードドライブを盗まれたりした場合だけでなく、FDEの実行中にもセキュリティが維持されるようにFDEを拡張できることです。それとも、FBEがそのようなことを処理する唯一の適切な方法ですか?
ベストアンサー1
原則として、dm-cryptはキーを「忘れて」毎回再入力する必要がありますが、これは実用的ではなく非常に不便です。ファイルシステムの読み書きは、必ずしも「ファイルを開く」や「ファイルを保存」などのユーザー操作と直接一致するわけではありません。
- プログラムがファイルを開くとき、必ずしもファイル全体をRAMにすぐにロードするわけではありません。ファイルを開いたままにして必要に応じてファイルの一部のみを読み取ることができるため、いつでもパスワードプロンプトが表示され、ユーザーが邪魔になる可能性があります。
- 同様に、プログラムがファイルに書き込む場合、必ずしもファイル全体を一度に書き込む必要はありません。それでも、書き込みキャッシュはディスクへの実際の書き込みを遅らせます。
- システムのソフトウェアによっては、実行している操作に関係なく(コンピュータから離れている間でも)バックグラウンドでファイルシステムにアクセスする必要がある場合があります。これにより、パスワードプロンプトがよりランダムに中断されます。
実際、上記の理由のためにdm-cryptがサポートしていないので、望むことはできません。