Tenía curiosidad por saber si alguien tenía una descripción general de alto nivel de cómo funcionaba un sistema como LUKS para el cifrado completo del disco, también conocido como. cómo almacena las claves y cómo se verifican esas claves, y si los datos se descifran mediante un contenedor para todas las entradas y salidas estándar. He visto explicaciones parciales en otros lugares, pero nunca una explicación de alto nivel.
Le diré qué componentes componen los LUKS y cómo interactúan a un nivel alto (no les diré el formato de los metadatos y cómo se utilizan).
Esta solución de cifrado de disco está formada por dos componentes: cryptsetup (espacio de usuario) y dm-crypt (kernelspace, Linux Kernel module).
cryptsetup se utiliza para formatear el dispositivo de bloqueo y para abrir el dispositivo de bloqueo. Al formatear y abrir el dispositivo, envía las claves al kernelspace. El módulo dm-crypt crea una instancia de un contexto de cifrado en el que almacena los datos de sesión / clave de cifrado (CryptoAPI es el módulo dentro del Kernel de Linux que se ocupa de toda la criptografía, tiene soporte de aceleradores criptográficos, etc.). Después de montar realmente ese dispositivo de bloque, cuando escribe / lee en / desde él, todo pasa por ese contexto.
Lea otras preguntas en las etiquetas encryption linux disk-encryption luks