攻撃者がドライブ内のデータ量を判断できないようにドライブを暗号化する方法はありますか?
また、他のデータを公開せずに 1 つのキーを安全に共有できるように、複数の独立したファイルシステムを保持できる必要があります。また、攻撃者は暗号化されたファイルシステムがいくつあるかを知ることができないようにする必要があります。
Linux でもこれは可能ですか?
答え1
複数のオプションがありますが、最も簡単な方法は、暗号化されていないファイル システムを使用し、ブロック デバイスで使用できる暗号化されたイメージ ファイルをそこに保存することです。この方法では、とcryptoloopだけで暗号化されたボリュームを追加または削除できます。ddlosetuprm
もちろん、LUKSや などの機能も使用できますが、これはもう少し高度な機能です。暗号化されたループ デバイスは任意のファイル システムを保持でき、AES 暗号化の特性により、スパース ファイルを使用しない限り (スパース ファイルを使用した場合でも、攻撃は非常に理論的なものです)、各ファイル システムのデータ量はキーなしでは読み取れないというデフォルトになっています。
編集
明確にしておくと、各イメージ ファイルのサイズは一定です (物理パーティションのサイズも同様)。パーティション サイズと同じように事前に決定されます。
ファイル システムの量を非表示にするには、次の 2 つの選択肢があります。
- 暗号化された画像ファイルを 1 つ作成し、他の画像ファイルをその中に書き込みます (必要に応じて暗号化またはプレーン ファイルに書き込みます)。
- 残りのスペースをダミー画像ファイルで埋める - どれに有効なデータが含まれていてどれに含まれていないかは誰にもわかりません