我想知道安装 Ubuntu 并加密安装时的熵级别有多高。据我所知,唯一未加密的分区是 /boot 分区,因为它的引导加载程序未加密。当我使用 TrueCrypt 加密 Windows 时,系统要求我将鼠标光标移动到窗口内以创建一个池来提高熵级别。
由于 Ubuntu 没有提供类似的东西,我如何确保密钥、盐等足够安全?
答案1
虽然您可能不需要移动鼠标,但它仍有助于建立熵/为您的随机数生成器提供信息。
在 Linux 中,/dev/random是您的 PRNG。 /dev/urandom由 提供/dev/random,但提供更多可供使用的原始数据。
访问硬盘上的数据、移动鼠标和打字都是为随机数生成器提供信息的操作。
不幸的是,当您处于 Ubuntu 的 LiveCD 模式时,您很可能没有太多事情可做,这可能会导致熵增加。
不过,您可以放心,Linux 中的随机数生成已经经过同行评审,应该是安全的。如果您无法接受这一点,欢迎您查看内核源代码。
答案2
从 Ubuntu 22.04.2(或默认内核版本 5.15.0-47)开始,Linux 随机系统进行了重大修订,大大减少了熵池的大小。
请放心,安装过程中的加密密钥足够强大 - 并且对于最新修订的 Random 版本而言更是如此。