LUKS (Linux Unified Key Setup) — де-факто стандарт шифрования дисков в Linux. Реализован поверх dm-crypt — механизма прозрачного шифрования блочных устройств в ядре Linux. LUKS добавляет к dm-crypt управление ключами: заголовок раздела хранит зашифрованный master-ключ, защищённый до 32 паролями или ключевыми файлами.
Как работает LUKS
Архитектура LUKS разделяет два уровня:
- Master Key — случайный ключ (512 бит для AES-256), которым непосредственно шифруются данные. Никогда не меняется при смене пароля.
- Key Slot — до 8 (LUKS1) или 32 (LUKS2) слотов, каждый содержит master-ключ, зашифрованный пользовательским паролем через PBKDF2 или Argon2id.
Алгоритмы шифрования по умолчанию:
- AES-256-XTS — режим XTS разработан специально для дисков; стандарт для LUKS2
- AES-256-CBC-ESSIV — используется в LUKS1 на старых системах
- Поддерживаются также Twofish, Serpent — для параноидного уровня защиты
Создание зашифрованного раздела:
# Форматирование LUKS2:
cryptsetup luksFormat --type luks2 /dev/sdb1
# Открытие (монтирование как /dev/mapper/cryptdata):
cryptsetup open /dev/sdb1 cryptdata
# Создание ФС и монтирование:
mkfs.ext4 /dev/mapper/cryptdata
mount /dev/mapper/cryptdata /mnt/data
История
LUKS разработал Клеменс Фраунхофер (Clemens Fraunhofer) в 2004 году как стандарт для устранения несовместимости между различными реализациями dm-crypt. Спецификация LUKS1 опубликована в 2005 году. LUKS2 с поддержкой Argon2id и интегрити-хешей появился в cryptsetup 2.0 в 2017 году. Fedora включила LUKS-шифрование диска как опцию установки с версии 9 (2007), Ubuntu Desktop — с версии 12.10 (2012).
LUKS в хостинге и на серверах
Для выделенных серверов в датацентрах LUKS решает compliance-задачи: GDPR, PCI DSS и 152-ФЗ требуют шифрования персональных данных. При физической краже сервера зашифрованные LUKS-разделы не дают доступа к данным без ключа.
Для VPS LUKS применяется ограниченно: гипервизор видит зашифрованный блок, но при компрометации хост-системы поставщик теоретически может получить ключ из памяти запущенной VM. Для полной защиты от оператора датацентра используют конфиденциальные вычисления (AMD SEV, Intel TDX).
Автоматическое монтирование зашифрованных разделов при загрузке настраивается через /etc/crypttab + /etc/fstab, либо через Clevis/Tang для сетевого хранения ключей.
Как работает LUKS технически
LUKS-заголовок хранится в начале зашифрованного устройства и содержит: тип шифра и режим (по умолчанию AES-256-XTS), параметры PBKDF (Password-Based Key Derivation Function), до 8 слотов для ключей. Master key (мастер-ключ) генерируется случайно и шифруется производным ключом от парольной фразы или файла-ключа. Это позволяет менять парольные фразы без перешифровки всего тома.
Каждый слот LUKS хранит отдельный зашифрованный вариант мастер-ключа. Добавить второй ключ: cryptsetup luksAddKey /dev/sdb. Удалить слот: cryptsetup luksKillSlot /dev/sdb 1. Просмотр состояния: cryptsetup luksDump /dev/sdb.
LUKS2 vs LUKS1
LUKS2 — версия по умолчанию начиная с cryptsetup 2.0 (2017). Отличия от LUKS1: поддержка Argon2 как PBKDF (более устойчивый к GPU-атакам, чем SHA-512), резервная копия заголовка в конце тома, поддержка аппаратных токенов (FIDO2, PKCS#11), интегрированность с systemd для автомонтирования.
LUKS1 используется там, где требуется совместимость со старыми системами (GRUB2 до версии 2.06 не поддерживал LUKS2 для загрузочного раздела). Начиная с Ubuntu 20.04, Debian 11 — LUKS2 по умолчанию.
Применение на хостинге
LUKS на серверах хостинга используется в нескольких сценариях: шифрование данных арендаторов на VDS (соответствие требованиям ФЗ-152 о хранении персданных), шифрование резервных копий перед передачей в облако, защита данных при физическом изъятии диска. На VPS LUKS применить сложнее: гипервизор имеет доступ к образу диска, поэтому шифрование защищает только от физической кражи накопителя, не от привилегированного хостера.
Производительность: AES-NI — аппаратное ускорение AES в процессорах Intel (с 2010) и AMD (с 2011) — нивелирует накладные расходы шифрования до 2-5% от скорости диска. Проверить поддержку: grep -m1 aes /proc/cpuinfo.