Можно ли настроить dm-crypt на запрос ключа при каждом чтении/записи?
Насколько я понимаю, dm-crypt служит для абстрагирования фактического блочного устройства, так что чтение/дешифрование и запись/шифрование происходят автоматически.
Однако, предполагая отображение устройства с target: crypt создано, на нем есть файловая система, и оно уже смонтировано, можно ли сказать dm-crypt запрашивать ключ при каждой записи (шифровании) и чтении (расшифровке) вместо того, чтобы автоматически использовать ключ, присутствующий в таблице отображения?
На самом деле я хочу спросить, можно ли расширить FDE, чтобы обеспечить безопасность во время выполнения, а не только когда компьютер выключен или жесткий диск украден? Или FBE - единственный подходящий метод для таких вещей?
В принципе, можно было бы заставить dm-crypt "забывать" ключ и требовать его вводить каждый раз заново, но это было бы непрактично и очень неудобно. Чтение и запись в файловую систему не обязательно напрямую соответствуют пользовательским операциям, таким как "открыть файл" или "сохранить файл".
- Когда программа открывает файл, она не обязательно загружает его в оперативную память целиком и сразу. Она может держать файл открытым и просто считывать его части по мере необходимости, прерывая вас запросами пароля в произвольное время.
- Точно так же, когда программа записывает в файл, она не обязательно записывает все сразу. И даже если это происходит, кэширование записи может задержать фактическую запись на диск.
- В зависимости от того, какое программное обеспечение установлено на вашей системе, могут существовать вещи, которым необходим доступ к файловой системе в фоновом режиме, независимо от того, что вы делаете (и, возможно, когда вы находитесь вдали от компьютера). Это приведет к более случайным прерываниям с запросами пароля.
На практике вы не можете сделать то, что хотите, потому что dm-crypt не поддерживает это, так как это непрактично по вышеуказанным причинам.
Если я правильно вас понял, и вы предлагаете, чтобы ключ постоянно менялся во время выполнения, то для того, чтобы вернуться назад и получить доступ к данным, которые были записаны n ключей назад, необходимо хранить огромную "карту" истории ключей. Или это, или если смена ключа приводит к тому, что дисковый накопитель "переизобретается" каждый раз, когда меняется ключ, то для этого нужен какой-то очень быстрый диск.