Is it possible, during creation of the encrypted disk, to specify a custom amount of PBKDF2 iterations for key derivation?
Sim. Você pode usar a opção -i
de cryptsetup
para especificar a contagem de iterações. Você também pode usar --iter-time
para especificar um tempo em segundos para comparar a contagem de iterações para atingir um determinado tempo de execução em seu sistema.
Is it possible, after the encrypted disk has already been created, to modify the amount of PBKDF2 iterations for key derivation?
Sim, embora seja um pouco doloroso. As versões do cryptsetup 1.5.0 e posteriores vêm com a ferramenta cryptsetup-reencrypt
para nova criptografia offline, que permite alterar as configurações. Pelo que li, ele faz uma re-criptografia completa de todo o disco, o que levará muito tempo. Tecnicamente, só é necessário criptografar novamente um novo cabeçalho de volume, mas há razões de segurança para criptografar novamente tudo.