dm-crypt / extensão da senha / keyfile do LUKS

Navegue suas respostas
4

Eu tenho um par de questões relacionadas com o dm-crypt / LUKS.

Configurando o dm-crypt / LUKS com estas configurações: 

cryptsetup -c aes-xts-plain -h sha256 --key-size=256 -y luksFormat /dev/sda1

(1) Considerando que o tamanho da chave especificado é de 256 bits, quantos caracteres devem ser a frase secreta? E se por algum motivo o tamanho pode variar, por quê? E qual é o tamanho recomendado?

Ao usar um arquivo de chave com essas configurações (ou, como alternativa, adicionar um a um slot disponível): 

cryptsetup -c aes-xts-plain -h sha256 --key-size=256 luksFormat /dev/sda1 /path/to/key/file

(2) Qual o tamanho do arquivo de chave? E novamente, se o tamanho pode variar, por que e o que é recomendado?

(3) Qual é a diferença entre - tamanho-chave = BITS e - keyfile-size = bytes ?

Eu sei que um significa "O tamanho da chave de criptografia" e um "Limita a leitura do arquivo de chave", mas não entendo a correlação exata entre eles.

(4) ... e entre - keyfile-size = bytes e - new-keyfile-size = bytes ?

Eu li a página man várias vezes e pesquisei na Internet muitos artigos diferentes. Estas são apenas algumas coisas que me confundem.

    
por Mark 20.07.2011 / 17:57

1 resposta

4

(1) Considering the key size specified is 256 bits, how many characters long should the passphrase be? And if for some reason the size may vary, why? And what is the recommended size?

Deve ser o tempo que você puder razoavelmente lembrar e você estiver disposto a digitar. Ele é executado por meio de uma função hash , mas deixará de ser lido após a primeira nova linha de linha \n . A função hash recebe o máximo de texto que você der e, em seguida, fornece um resultado.

O hash sha256 para o texto superuser.com é 6153a5e4835cfb92fa324bfce5470a0b8d554cadbf7a9fbe21be74460897e021 e o hash para o texto do corpo inteiro da primeira versão da sua pergunta é f653459aa401efd1f058de5920cb25fe03bb969c90b001fd0f5282164c8b1afa , observe como a saída tem o mesmo tamanho.

(2) What size should the key file be? And again, if the size may vary, why, and what is recommended?

Normalmente, o LUKS só usa a quantidade de dados do arquivo que realmente precisa. Então você poderia usar um arquivo de 1GB, e se o seu tamanho de chave for 256, ele usará somente os primeiros 256 bits. Portanto, seu arquivo de chaves deve ser pelo menos tão grande quanto seu valor de tamanho de chave, mas pode ser maior. Eu costumo apenas criar um keyfile de 4096 bytes usando um comando como dd if=/dev/random of=/../mykeyfile bs=4096 count=1 . Isso lhe dá mais dados do que você precisa, mas ainda é um arquivo relativamente pequeno.

(3) What is the different between --key-size=BITS and --keyfile-size=bytes?

Não tenho certeza de qual versão do cryptsetup você está executando, a opção de tamanho de arquivo-chave parece ser nova. A observação nesta página parece sugerir que ela está presente para fazer com que o LUKS leia mais dados do arquivo Qual é o seu valor de tamanho de chave? Eu não sou um especialista em criptografia, mas acredito que se o seu arquivo de chaves for realmente aleatório, então pegar mais dados para alimentar a função de hash não vai torná-lo mais seguro. Se você estiver usando um arquivo que não está cheio de dados aleatórios, isso pode ser útil, mas não tenho certeza.

    
por 20.07.2011 / 19:06

Tags

init.d script não está sendo executado? Cliente recomendado para lidar com mais de uma conta SIP?