Vortrag: Authenticated disk encryption und Schutz vor Bit-rot unter Linux mit dm-integrity

by vimja on 2024-04-24

  • Datum: Donnerstag, den 23. Mai
  • Zeit: Von 19:30 bis ca. 20:15
  • Ort: Bei uns im Hackerspace an der Kyburgstrasse 13 in 3013 Bern

dm-integrity ist eine verhältnismässig junge Komponente im Linux storage stack. Dieses device mapper target bringt zwei wichtige Funktionen, die unter Linux traditionell gefehlt haben.

Das eine ist der Schutz vor Bit-rot. Gemeint ist damit das Verfallen der Daten auf dem Speichermedium. Dieser Vorgang geschieht auf allen Typen von Speichermedien, wenn auch unterschiedlich schnell. dm-integrity bringt nun die Möglichkeit den Bit-rot zu erkennen. Dies wiederum erlaubt uns dann, etwas dagegen zu unternehmen.

Die zweite wichtige Funktionalität, ist die authenticated disk encryption. Mit LUKS / dm-crypt bietet Linux eine sehr gute Lösung für full disk encryption. Durch eine enge Verzahnung mit dm-integrity, lässt sich diese jetzt erweitern um so Schutz vor noch mehr, wenn auch exotischen, Angriffsszenarien zu bieten.

Mehr zu dm-integrity, den oben erwähnten Anwendungsfällen, den Vor- und Nachteilen und die korrekte Integration in den typischen storage stack erläutere ich in meinem Vortrag am 23. Mai.

Das Bild zeigt wie verschiedene Funktionen eines storage Setup aufeinander aufbauen. Jede Funktion wird im Bild als eigene Schicht repräsentiert. Zu unterst finden sich 5 SSDs, darauf folgen Partitionen und dann zwei Schichten LUKS, eine für die Integritätsprüfung und eine für die Verschlüsselung, gefolgt von RAID, LVM und schliesslich dem Dateisystem und SWAP. Ein zweites Set von Partitionen beherbergt einen vereinfachten Aufbau bei dem nur ein RAID mit Dateisystem zum Einsatz kommen um das /boot zu beherbergen.
Beispiel für die Integration von dm-integrity mit einem typischen Linux Speicher Setup.

Kollekte

Der freie Zugang zu Wissen ist uns ein wichtiges Anliegen. Aus diesem Grund ist der Eintritt wie immer kostenfrei. Mit Blick auf den bevorstehenden Umzug werden wir aber eine Kollekte aufstellen. Wer es sich leisten kann ist gebeten etwas zu unserer Umzugskasse beizutragen.