व्यवहार में, यह लगभग बिना एन्क्रिप्शन के जैसा लचीला है, जब तक आप मास्टर कुंजी और मेटाडेटा को ठीक से बैकअप नहीं लेते हैं ।
मेटाडेटा के अलावा, भ्रष्टाचार केवल भ्रष्ट बिट के ब्लॉक को प्रभावित करेगा, ज्यादातर मामलों में सिर्फ 16 बाइट्स।
डेटा भ्रष्टाचार की अधिकांश स्थितियों के लिए, कुंजी और टूल (जैसे आपका पासवर्ड और वेराक्रिप्ट / एलयूकेएस) के साथ, आपके पास एक गैर एन्क्रिप्टेड डिस्क के समान पहुंच है, ठीक उसी तरह जैसे आप एक एन्क्रिप्टेड डिस्क के रोजमर्रा के उपयोग के साथ करते हैं। एन्क्रिप्शन केवल एक अतिरिक्त चरण जोड़ देगा (एक एन्क्रिप्टेड विभाजन खोलें) साधारण से। तो इस मामले में, यह गैर एन्क्रिप्टेड डेटा की तरह व्यवहार करता है।
वेराक्रिप्ट या लुक्स के साथ, आपको डिस्क में मास्टर कुंजी को स्टोर करना होगा, जिसे आपके पासवर्ड के साथ एन्क्रिप्ट किया गया है। इस क्षेत्र को नुकसान पहुंचाने से स्थायी डेटा खो जाएगा। यह आसानी से मास्टर कुंजी बैकअप (आकार में कुछ किलोबाइट) के साथ हल किया जा सकता है, दोनों सॉफ्टवेयर के साथ कुछ आसान है, और यह सभी के लिए अत्यधिक अनुशंसित है।
गैर मेटा डेटा के बारे में विवरण
वेराक्रिप्ट और लुक्स दोनों आज एक्सटीएस का उपयोग करते हैं। इस मोड में, इसकी गणना हर ब्लॉक के लिए की जाती है। एक सरलीकरण में, ब्लॉक को एन्क्रिप्ट करने के लिए i
आप मास्टर कुंजी और ब्लॉक संख्या के साथ उत्पन्न एक कुंजी का उपयोग करते हैं। तो, दूसरे से स्वतंत्र में एक ब्लॉक का एन्क्रिप्शन। यदि आप कुछ जानकारी को दूषित करते हैं, तो यह उस ब्लॉक तक सीमित रहेगा।
XTS में, यह सब-ब्लॉक (आमतौर पर 16 बाइट्स) में ब्लॉक को तोड़ता है और एक कुंजी बनाता है, और इसके साथ उस सब-ब्लॉक को एन्क्रिप्ट करता है। इसका मतलब है कि अगर हम इस पर थोड़ा बदलाव करते हैं, तो यह केवल 16 बाइट्स प्रभावित होगा।
परीक्षण के रूप में, लुक्स की मात्रा में एक बिट को बदलते हुए, यह मूल फ़ाइल के 16 बाइट्स को गीबर्बिश में बदल देता है, लेकिन अन्य 496 अभी भी अपरिवर्तित हैं। 7zip फ़ाइल में, यह एक स्ट्रीम विधि का उपयोग करता है, कि सभी बाइट्स जंजीर हैं, इसलिए एक बाइट परिवर्तन सभी शेष लोगों को प्रभावित करेगा - यह यहाँ मामला नहीं है।
कुछ इसे एक समस्या मानते हैं, जैसा कि आप 16 बाइट्स की सटीकता के साथ जान सकते हैं कि आप एक एन्क्रिप्टेड टेक्स्ट को कब और कहां बदलते हैं, सिर्फ एन्क्रिप्टेड डेटा की तुलना में।
इसके बारे में अधिक रोचक जानकारी इन लिंक्स पर मिल सकती है:
/crypto/6185/what-is-a-tweakable-block-cipher
/security/39306/how-secure-is-ubuntus-default-full-disk-encryption
https://en.wikipedia.org/wiki/Disk_encryption_theory
मास्टर कुंजी के बारे में विवरण
LUKS
एलयूकेएस में मेटाडेटा, भंडारण एन्क्रिप्शन विधियों, अन्य मापदंडों और 8 मिलियन स्लॉट के साथ विभाजन (या डिस्क) की शुरुआत में कुछ सेक्टर हैं। डिस्क को एन्क्रिप्ट करने और डिक्रिप्ट करने के लिए, यह एक मास्टर कुंजी का उपयोग करता है , जो LUKS कंटेनर बनाते समय उत्पन्न एक बड़ी यादृच्छिक संख्या है। इसे संग्रहीत करने के लिए, यह आपके पासवर्ड के साथ मास्टर कुंजी को एन्क्रिप्ट करता है, पासवर्ड पर कई बार क्रिप्टोग्राफ़िक हैश फ़ंक्शन को पुन: व्यवस्थित करने और उस स्लॉट के लिए एक विशिष्ट कुंजी उत्पन्न करने के माध्यम से। आपके पास एक ही डिस्क के लिए 8 अलग-अलग पासवर्ड हो सकते हैं, प्रत्येक एक स्लॉट में एक अलग पासवर्ड के साथ मास्टर कुंजी को एन्क्रिप्ट कर रहा है। जब आप पासवर्ड बदलते हैं, तो यह मास्टर कुंजी को एन्क्रिप्ट करने के रूप में सरल है, और सभी विभाजन को नहीं बदलना है।
इसलिए, जब यह स्लॉट और मेटाडेटा दूषित हो जाता है, तो आप उस मास्टर कुंजी को पुनर्प्राप्त नहीं कर सकते हैं जिसका उपयोग वास्तव में डिक्रिप्ट करने के लिए किया जाता है, डिस्क पर सभी डेटा को खो देता है। यह आपके सभी डेटा को तेजी से नष्ट करने का एक आसान तरीका है। लेकिन अगर आपके पास वॉल्यूम हैडर का बैकअप है, तो इसे पुनर्प्राप्त करना बहुत आसान है।
नीचे https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAskedQuestions#6-backup-and-data-cadveryvery से निकाले गए बैकअप के बारे में LUKS FAQ की एक प्रति है।
6.2 मैं LUKS हेडर का बैकअप कैसे ले सकता हूं?
जब आप LUKS विभाजन की शुरुआत से उचित संख्या में बाइट्स की प्रतिलिपि बना सकते हैं, तो सबसे अच्छा तरीका क्रायसिपेटअप के कमांड विकल्प "luksHeaderBackup" का उपयोग करना है। यह उन त्रुटियों से भी बचाता है जब LUKS विभाजन निर्माण में गैर-मानक मापदंडों का उपयोग किया गया है। उदाहरण:
cryptsetup luksHeaderBackup --header-backup-file <file> <device>
पुनर्स्थापित करने के लिए, उलटा कमांड का उपयोग करें, अर्थात
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
यदि आप शीर्ष लेख के बारे में अनिश्चित हैं, तो इसे पहले करेंट का बैकअप बना लें! आप हेडर-फ़ाइल को इस तरह से अलग किए गए हेडर के लिए -याडर विकल्प का उपयोग करके इसे पुनर्स्थापित किए बिना भी परीक्षण कर सकते हैं:
cryptsetup --header <file> luksOpen <device> </dev/mapper/ -name>
यदि वह आपकी चाबियों को खोल देता है, तो आप अच्छे हैं। डिवाइस को फिर से बंद करने के लिए मत भूलना।
कुछ परिस्थितियों में (क्षतिग्रस्त हेडर), यह विफल रहता है। फिर निम्न चरणों का उपयोग करें:
पहले मास्टर-कुंजी का आकार निर्धारित करें:
cryptsetup luksDump <device>
प्रपत्र की एक पंक्ति देता है
MK bits: <bits>
पुराने डिफॉल्ट के लिए 256 और नए डिफॉल्ट के लिए 512 के बराबर बिट्स हैं। 256 बिट्स 1'052'672 बाइट्स के कुल हेडर आकार और 512 बिट्स 2MiB में से एक के बराबर होते हैं। (आइटम 6.12 भी देखें) यदि luksDump विफल रहता है, तो 2MiB मान लें, लेकिन इस बात से अवगत रहें कि यदि आप उसे पुनर्स्थापित करते हैं, तो आप पहले 1M या फ़ाइल सिस्टम को भी पुनर्स्थापित कर सकते हैं। यदि आप हेडर का आकार निर्धारित करने में असमर्थ थे, तो फाइल सिस्टम को न बदलें! इसके साथ, बहुत बड़े हेडर बैकअप को बहाल करना अभी भी सुरक्षित है।
दूसरा, हैडर को फाइल करने के लिए डंप करें। इसे करने के कई तरीके हैं, मैं निम्नलिखित पसंद करता हूं:
head -c 1052672 <device> > header_backup.dmp
या
head -c 2M <device> > header_backup.dmp
2MiB हेडर के लिए। सुनिश्चित करने के लिए डंप-फ़ाइल का आकार सत्यापित करें। इस तरह के बैकअप को पुनर्स्थापित करने के लिए, आप luksHeaderRestore आज़मा सकते हैं या अधिक बुनियादी कर सकते हैं
cat header_backup.dmp > <device>
Veracrypt
Veracrypt LUKS के समान है। मैं Truecrypt के साथ होने के साथ इसका उपयोग नहीं कर रहा हूं, लेकिन सामान्य विचार रखता है।
Veracrypt में केवल एक कुंजी स्लॉट है, इसलिए आपके पास एक ही समय में एक से अधिक पासवर्ड नहीं हो सकते। लेकिन आपके पास एक छिपी हुई मात्रा हो सकती है: यह विभाजन के अंत में मेटाडेटा (या डिस्क या फ़ाइल) को संग्रहीत करता है। छिपे हुए वॉल्यूम में एक अलग मास्टर कुंजी है और विभाजन के अंत का उपयोग ओवरलैप किए गए स्थान के रूप में किया जाएगा। यह विचार कि आपको बैकअप लेना चाहिए वही है। इसके साथ Tools -> Backup Volume Header
और किया जा सकता है Tools -> Restore Volume Header
। सिस्टम एन्क्रिप्शन के साथ, यह कुंजी बैकअप के साथ एक बूट करने योग्य डिस्क बनाने के लिए उपयोग करता है जो किसी भी नुकसान होने पर Truecrypt लोडर और कुंजियों को ठीक करता है। यह किसी भी चीज़ को एन्क्रिप्ट करने से पहले किया जाता है, और जहाँ तक मुझे पता है कि वेराक्रिप्ट उसी तरह जारी है।
अधिक जानकारी के लिए इस लिंक को देखें https://veracrypt.codeplex.com/wikipage?title=Program%20Menu
बैकअप कुंजी के बारे में सुरक्षा विचार
यदि आपके पास उदाहरण के लिए एक लीक पासवर्ड है, और वॉल्यूम पासवर्ड को एक नए, मजबूत और सुरक्षित रूप से बदल देता है, तो बैकअप तक पहुंच वाला कोई भी व्यक्ति पुराने पासवर्ड के साथ फ़ाइलों को डिक्रिप्ट करने में सक्षम होगा। बैकअप मूल रूप से (पुराने) पासवर्ड के साथ एन्क्रिप्ट किया गया मास्टर की है। इसलिए, पासवर्ड बदलते समय, एक नया बैकअप बनाने और पुराने को नष्ट करने की भी आवश्यकता होती है। और स्थायी रूप से डेटा को नष्ट करना बहुत मुश्किल हो सकता है।
उस पासवर्ड के साथ आपके पास मौजूद हर बैकअप के लिए, उस पासवर्ड के साथ डेटा को डिक्रिप्ट करने का एक संभावित तरीका है। यह उदाहरण के लिए Veracrypt में इस्तेमाल किया जा सकता है, एक "यूनिवर्सल पासवर्ड" (जैसे एक निगम में) का उपयोग करके, इसे बैकअप करने और किसी अन्य पासवर्ड को बदलने के लिए। तो आईटी विभाग। भले ही किसी ने पासवर्ड खो दिया हो, उस वॉल्यूम तक पहुंच को पुनर्प्राप्त करें (एक मास्टर पासवर्ड के रूप में सोचें, लेकिन पहले से मास्टर कुंजी के साथ भ्रमित न करें)।
अंतिम विचार (टीएल; डीआर)
मास्टर कुंजी के साथ विशिष्ट क्षेत्र को नुकसान पहुंचाने की संभावना आपके द्वारा पूर्ण डिस्क विफलता होने की संभावना से कम है। इसलिए यदि यह डेटा महत्वपूर्ण है, तो आपके पास वॉल्यूम हेडर (मास्टर कुंजी) के बजाय इसका बैकअप होना चाहिए।
और डेटा का भ्रष्टाचार थोड़ा (16 बाइट्स) फैल गया, जिसके परिणामस्वरूप अधिकांश उपयोगों के लिए स्वीकार्य है।
तो विभाजन या डिस्क के बीच में एक बुरा ब्लॉक केवल उस ब्लॉक को प्रभावित करेगा। और एक सेक्टर में कुछ बिट्स एरर्स उस सेक्टर तक ही सीमित है, और यह पूरी तरह से 512 बाइट्स सेक्टर को भी प्रभावित नहीं करेगा।
अपडेट (23/01/2017): ओपी टिप्पणियों के आधार पर अधिक जानकारी जोड़ें।