swap の暗号化2008年04月25日 19時47分20秒

OpenBSD が swap 領域を暗号化したのが一番最初だった。当時は、スワップなど暗号化してどうするのかと笑われたりしたものだった。その時の報告では、ディスクの方が暗号化に掛かる時間よりも遅いので実質的な損失は無いとの事だった。OpenBSD では既に何年もの間、デフォルトで暗号化されるようになっていたと記憶している。

FreeBSD でも gbde と geli を用いて swap 領域の暗号化が出来る。gdbe 自体が既に過去の物となっており、gbde の利用は勧められない。geli を用いると一度切りのパスワードを生成し利用するので、再起動毎にパスワードも変わることになる。

さて、実際の方法だが、rc に組み込まれているので、とても簡単だ。デバイスに .eli をつけるだけで良い。 


# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad4s3b             none            swap    sw              0       0



# Device                Mountpoint      FStype  Options         Dump    Pass#
/dev/ad4s3b.eli         none            swap    sw              0       0
と変える。rc スクリプトは swap 型かつ sw オプションを持ち、各 GEOM デバイスを指定したものを暗号化の対象する。この場合は、eli だ。

by uyota [crypto/security] [FreeBSD] [geom] [OpenBSD] [コメント(0)トラックバック(0)]

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※なお、送られたコメントはブログの管理者が確認するまで公開されません。

名前:
メールアドレス:
URL:
コメント:

トラックバック

このエントリのトラックバックURL: http://uyota.asablo.jp/blog/2008/04/25/3317406/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。