我已经在 Ubuntu 12.04 上使用 dm-crypt/LUKS/cryptsetup 加密了我的根分区。
由于它使用 PBKDF2:
- 在创建加密磁盘期间,是否可以指定密钥派生的自定义 PBKDF2 迭代次数?
- 加密磁盘创建完成后,是否可以修改密钥派生的 PBKDF2 迭代次数?
我想让暴力破解变得更加困难:)
答案1
在创建加密磁盘期间,是否可以指定密钥派生的自定义 PBKDF2 迭代次数?
是的。cryptsetup
手册上写道:
--iter-time, -i
The number of milliseconds to spend with
PBKDF2 password processing. This option
is only relevant to the LUKS operations
as luksFormat or luksAddKey.
指定-i
/--iter-time
允许您选择所需的解锁时间(以毫秒为单位)。然后它将对迭代次数进行基准测试,以在您的确切系统上实现特定的执行时间。
加密磁盘创建完成后,是否可以修改密钥派生的 PBKDF2 迭代次数?
LUKS1 回答:是的,虽然有点麻烦。cryptsetup 1.5.0 及更高版本附带cryptsetup-reencrypt
离线重新加密工具,允许您更改设置。据我所知,它会对整个磁盘进行完全重新加密,这将花费很长时间。从技术上讲,它应该只需要重新加密新的卷标头,但出于安全原因,重新加密所有内容。
LUKS2 更新 / 2021 新闻:现在有一个安全的内置cryptsetup reencrypt
命令,可执行校验和、可恢复的重新加密,可防止断电。所有 LUKS2 磁盘都应使用新工具,因为它比旧的外部 ( cryptsetup-reencrypt
) 工具安全得多。查看cryptsetup
手册页了解新命令的用法。