“cryptsetup reencrypt”似乎削弱了摘要迭代计数

“cryptsetup reencrypt”似乎削弱了摘要迭代计数

我有一个 LUKS 分区cryptsetup luksDump /dev/mydisk(摘录)

Digests:
  0: pbkdf2
    Hash:       sha256
    Iterations: 176646
    Salt:       xx xx ...
    ...

在容器离线时运行cryptsetup reencrypt /dev/mydisk,在完成后删除了之前的摘要(可以理解),留下以下内容(Iterations现在已更改为更小的值)

Digests:
  1: pbkdf2
    Hash:       sha256
    Iterations: 1000
    Salt:       xx xx ...
    ...

我怀疑我手动选择了第一个迭代计数,所以我假设它是当时通过基准选择的luksFormat。之后,reencrypt迭代次数要小得多,而且据我所知,迭代次数太小,因此不建议这样做。

如果重新选择默认值,我会理解reencrypt,但显然它甚至没有运行基准测试。由于摘要保护主密钥,这是一个错误吗cryptsetup

答案1

这似乎是 中的一个错误cryptsetup。我已经在这里提交了一份报告:https://gitlab.com/cryptsetup/cryptsetup/-/issues/606

相关内容