根据http://16s.us/Linux/dm-crypt.txt,最好使用仅 dm-crypt,因为卢克斯留下痕迹。
没关系。但是,最安全的 cryptsetup 参数是什么?例如:“aes-cbc-essiv:sha512”比默认值更好。另外,默认的 cryptsetup 使用 256 位 AES,但也可能是(最大?)512 位。哪些参数创建的加密分区最安全?
答案1
隐藏您正在使用加密的事实非常困难。考虑到一些最小的解密软件(如 initrd 中)必须以纯文本形式存储在某处。看到这一点,磁盘上充满了随机数据可能查出。
如果你无法阻止这种情况,你不妨利用 LUKS。例如,如果您有多个用户,他们可以拥有自己的密码。
关于密码模式和算法。 AES 是使用最广泛的算法,它支持 128、192 和 256 位密钥。它们中没有一个接近被打破。 CBC 表示密码块链接。它不应该用于磁盘加密,因为它容易受到水印的影响。使用XTS模式代替。埃西夫意味着 IV 也是秘密的。这也可以防止水印。 SHA512 是一种哈希算法,用于从密码生成加密密钥。它被认为是安全的。
您可能想看看循环aes。它没有标头,使用多个 64x256 位密钥,您可以使用外部磁盘(如随身碟)来存储使用密码加密的密钥。不幸的是它需要内核补丁。
顺便说一句,我同意这些评论。没有最安全的方法。考虑一下您想要保护什么以及您预计会遭受什么样的攻击。