Me gusta el wiki de cifrado de disco de valinux . Es razonable suponer que la mayoría de los esquemas de encriptación de disco funcionan de una manera muy similar y pueden implementarse completamente en base a estándares abiertos bien establecidos.
Me atrevería a decir que si descubre algo propietario en un esquema de cifrado de disco, manténgase alejado ya que podría muy bien ocultar una puerta trasera. PBKDF2 es una función de derivación de claves bastante popular y basada en estándares. Es muy probable que AES sea el algoritmo de cifrado de preferencia, preferiblemente con 256 bits, y si desea una de sus variantes más fuertes, busque GCM.
Copié algunos diagramas informativos a continuación de la wiki.
╭┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈╮ ╭┈┈┈┈┈┈┈┈┈┈┈╮
┊ mount passphrase ┊━━━━━⎛key derivation⎞━━━▶┊ mount key ┊
╰┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈╯,───⎝ function ⎠ ╰┈┈┈┈┈┬┈┈┈┈┈╯
╭──────╮ ╱ │
│ salt │───────────´ │
╰──────╯ │
╭─────────────────────╮ ▼ ╭┈┈┈┈┈┈┈┈┈┈┈┈╮
│ encrypted master key│━━━━━━━━━━━━━━━━━━━━━━(decryption)━━━▶┊ master key ┊
╰─────────────────────╯ ╰┈┈┈┈┈┈┈┈┈┈┈┈╯
╭┈┈┈┈┈┈┈┈┈┈┈┈╮
┊ master key ┊
file on disk: ╰┈┈┈┈┈┬┈┈┈┈┈┈╯
┌ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┐ │
╎╭───────────────────╮╎ ▼ ╭┈┈┈┈┈┈┈┈┈┈╮
╎│ encrypted file key│━━━━(decryption)━━━▶┊ file key ┊
╎╰───────────────────╯╎ ╰┈┈┈┈┬┈┈┈┈┈╯
╎┌───────────────────┐╎ ▼ ┌┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┐
╎│ encrypted file │◀━━━━━━━━━━━━━━━━━(de/encryption)━━━▶┊ readable file ┊
╎│ contents │╎ ┊ contents ┊
╎└───────────────────┘╎ └┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┘
└ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┘
En pocas palabras:
- Frase de contraseña que deberá recordar e ingresar para montar el disco o la partición.
- La frase de contraseña se agita a través de la función de derivación de claves para generar una clave maestra. Debería haber suficientes iteraciones como para que las funciones se procesen en su computadora.
- La clave maestra se utilizará para descifrar un archivo de almacén de claves, que contiene una clave de archivo que realmente se usa para descifrar o cifrar los datos de su disco.
Q. ¿Por qué no tener una clave maestra que encripta directamente sus datos, por qué separar la clave maestra y la clave de archivo?
A. Si decide cambiar su contraseña, deberá volver a cifrar su disco para el esquema de clave maestra. Por otro lado, si tiene una clave maestra y de archivo por separado, entonces si cambia su contraseña, solo necesita volver a cifrar la clave de archivo.