有人建议我的帖子(https://security.stackexchange.com/questions/73140/is-there-an-aes-256-luks-encryption-option-in-fedora?noredirect=1#comment120019_73140) 如果我在这里问的话会更好。
因此,情况如下:
我的驱动器上有某些信息,我不想让任何人(甚至我自己也不行 ;) )访问。我最近读到 Fedora 只提供 AES 128 LUKS 加密。这对我来说不够安全。我希望我的整个驱动器都使用 256 或更强的加密。
现在我很困惑,因为在这个网站上:http://docs.fedoraproject.org/en-US/Fedora/14/html/Security_Guide/sect-Security_Guide-LUKS_Disk_Encryption.html它说 Fedora 仅支持 128 位。但是这里:Ubuntu 的默认全盘加密有多安全?它说 LUKS 使用 256 位,或者这仅适用于 Ubuntu。
有没有办法可以在 Fedora 上使用 256 或更强的 AES 全盘加密?
很抱歉我不得不在两个地方问这个问题。我以为安全论坛更适合,因为它全是关于安全的。我不知道这是一个系统特定的配置/问题。
答案1
是的。LUKS/dm-crypt/cryptsetup 适用于 Fedora,并且支持 AES 256。
但是,如果你问 Fedora 安装 GUI 是否允许你这样做,我不知道。它可能默认使用 256 位密钥的 AES-XTS——但我不知道。
但是,这实际上并不是特定于发行版的问题。LUKS、dm-crypt、cryptsetup 和 kernel mods 是内核级问题,并且适用于每个发行版。
ArchLinux 通常拥有关于此类技术的很好的信息。
https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption
在该页面上搜索此行:
# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat <device>
其他相关问题:
- 安装后如何配置/安装 LUKS。
- 如何在安装后加密 Linux 挂载点。
- 如何加密 Linux 交换分区。
- 如何加载 dm-crypt 内核模块,以在启动时解密驱动器。
- 如何配置 Grub 和/或 SysLinux 在启动时挂载加密分区。
- 如何配置 crypttab 和 fstab 以在启动时挂载分区。
- 如何配置 Linux 在登录时挂载 LUKS 分区、EncFS 或 ecryptFS。