我可以指定 PBKDF2 轮次以与 LUKS/dm-crypt 一起使用吗?

我可以指定 PBKDF2 轮次以与 LUKS/dm-crypt 一起使用吗?

我已经在 Ubuntu 12.04 上使用 dm-crypt/LUKS/cryptsetup 加密了我的根分区。

由于它使用 PBKDF2:

  1. 在创建加密磁盘期间,是否可以指定密钥派生的自定义 PBKDF2 迭代次数?
  2. 加密磁盘创建完成后,是否可以修改密钥派生的 PBKDF2 迭代次数?

我想让暴力破解变得更加困难:)

答案1

在创建加密磁盘期间,是否可以指定密钥派生的自定义 PBKDF2 迭代次数?

是的。cryptsetup手册上写道:

--iter-time, -i
    The number of milliseconds to spend with
    PBKDF2 password processing. This option
    is only relevant to the LUKS operations
    as luksFormat or luksAddKey. 

指定-i/--iter-time允许您选择所需的解锁时间(以毫秒为单位)。然后它将对迭代次数进行基准测试,以在您的确切系统上实现特定的执行时间。

加密磁盘创建完成后,是否可以修改密钥派生的 PBKDF2 迭代次数?

LUKS1 回答:是的,虽然有点麻烦。cryptsetup 1.5.0 及更高版本附带cryptsetup-reencrypt离线重新加密工具,允许您更改设置。据我所知,它会对整个磁盘进行完全重新加密,这将花费很长时间。从技术上讲,它应该只需要重新加密新的卷标头,但出于安全原因,重新加密所有内容。

LUKS2 更新 / 2021 新闻:现在有一个安全的内置cryptsetup reencrypt命令,可执行校验和、可恢复的重新加密,可防止断电。所有 LUKS2 磁盘都应使用新工具,因为它比旧的外部 ( cryptsetup-reencrypt) 工具安全得多。查看cryptsetup手册页了解新命令的用法。

相关内容