Posso especificar rounds de PBKDF2 para usar com o LUKS / dm-crypt?

2

Eu tenho criptografado minha partição raiz com dm-crypt / LUKS / cryptsetup no Ubuntu 12.04.

Como ele usa o PBKDF2:

  1. É possível, durante a criação do disco criptografado, especificar uma quantidade personalizada de iterações PBKDF2 para derivação de chave?
  2. É possível, após o disco criptografado já ter sido criado, modificar a quantidade de iterações PBKDF2 para derivação de chave?

Eu gostaria de tornar isso um pouco mais difícil para a força bruta:)

    
por Naftuli Kay 09.06.2014 / 20:11

1 resposta

3

Is it possible, during creation of the encrypted disk, to specify a custom amount of PBKDF2 iterations for key derivation?

Sim. Você pode usar a opção -i de cryptsetup para especificar a contagem de iterações. Você também pode usar --iter-time para especificar um tempo em segundos para comparar a contagem de iterações para atingir um determinado tempo de execução em seu sistema.

Is it possible, after the encrypted disk has already been created, to modify the amount of PBKDF2 iterations for key derivation?

Sim, embora seja um pouco doloroso. As versões do cryptsetup 1.5.0 e posteriores vêm com a ferramenta cryptsetup-reencrypt para nova criptografia offline, que permite alterar as configurações. Pelo que li, ele faz uma re-criptografia completa de todo o disco, o que levará muito tempo. Tecnicamente, só é necessário criptografar novamente um novo cabeçalho de volume, mas há razões de segurança para criptografar novamente tudo.

    
por 09.06.2014 / 20:23

Tags