cryptsetup plain

Как обещал, расскажу о фишке cryptsetup.

Всем известно, что с помощью cryptsetup (dm-crypt) зашифроваться можно двумя способами: так называемым plain и LUKS. Метод LUKS удобен, но более хрупок. Метод plain более безопасен, но не предлагает ничего сверх базовых функций. Так вот, на новом компе я решил закрыть раздел /home методом plain. После прочтения инструкции стало ясно, что если не указать параметры криптования явным образом, можно нарваться на ситуацию, когда умолчальные параметры при «открытии» устройства не совпадут с таковыми, использованными при создании этого устройства. Например, после обновления софта. Не вопрос, записал всё в параметры команды

cryptsetup --verbose --verify-passphrase -c aes-cbc-essiv -s 256 -h ripemd160 create home /dev/sda11

Ясен пончик, не работает! Если б работало, не было бы этого поста. Почему не работает? Понятия не имею. Имею предположение, что название метода криптования не совпадает с таковым в списе имеющихся (/proc/crypto). Так или иначе, если выбор параметров оставить на умолчание, то все прекрасно работает. Несмотря на то, что по умолчанию используются ровно те параметры, что я пытался задать явным образом:

cryptsetup --help
Default compiled-in device cipher parameters:
 loop-AES: aes, Key 256 bits
 plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160
 LUKS1: aes-cbc-essiv:sha256, Key: 256 bits, LUKS header hashing: sha1, RNG: /dev/urandom

Вот и вся фишка.

А вот рецепт (телеграфно) криптования раздела диска

umount /dev/sda11
cryptsetup --verbose --verify-passphrase create home /dev/sda11
cryptsetup --verbose status home
mke2fs -t ext4 /dev/mapper/home
mount /dev/mapper/home /home

и не забыть убрать монтирование home из /etc/fstab поскольку теперь монтирование надо делать ручкаме, вводя секретную фразу.