Como configurar a partição LUKS segura do Live USB

Navegue suas respostas
0

Eu criei recentemente uma partição LUKS na qual eu instalei o Ubuntu 16.04.3 LTS. Eu fiz isso através de um Ubuntu USB LTS 16.04.3.

Agora estou tendo dúvidas se isso é seguro. Quando eu leio a página man do cryptsetup, a seção "--use random" e "--use-urandom" lê o seguinte: 

   --use-random

   --use-urandom
          For  luksFormat  these  options  define which kernel random number generator will be
          used to create the master key (which is a long-term key).

          See NOTES ON RANDOM NUMBER GENERATORS for more information. Use cryptsetup --help to
          show the compiled-in default random number generator.

          WARNING:  In  a  low-entropy situation (e.g. in an embedded system), both selections
          are problematic.  Using /dev/urandom can lead to weak keys.  Using  /dev/random  can
          block  a  long  time, potentially forever, if not enough entropy can be harvested by
          the kernel.

Eu descobri o que era a entropia hoje e percebi que as distribuições ao vivo têm baixa entropia, então acredito que esse aviso se aplica a mim. Não me lembro se incluí o sinalizador --use-random ao criar minha partição LUKS, então não tenho idéia do que foi usado (porque acho que o urandom é padrão), mas o aviso sugere que ambas as opções são ruins?

FYI o comando que usei para criar minha partição foi este: 

sudo cryptsetup --verbose --cipher aes-xts-plain64:sha512 --key-size 512 --hash sha512 --iter-time 5000 luksFormat /dev/sdaX

(mas, como eu disse, não me lembro se incluí o sinalizador --use-random ao comando)

Quais são suas opiniões sobre essas circunstâncias? Você acha que precisarei reinstalar e, em caso afirmativo, quais opções devo usar?

    
por Lost Crotchet 12.11.2017 / 19:00

1 resposta

0

As distribuições ao vivo têm tanta entropia quanto uma máquina normal. Por que eles teriam menos? Eles são uma máquina normal, para todos os efeitos práticos; especialmente se esta foi uma sessão gráfica ao vivo, uma vez que o movimento do mouse é uma excelente fonte de entropia. Quanto ao --use-random vs. --use-urandom , eles fornecem a mesma segurança, mas urandom não bloqueia; Não há uma boa razão para usar /dev/random em vez de /dev/urandom .

Observe que raramente há uma boa razão para usar qualquer coisa, exceto os padrões com cryptsetup ; especificando qualquer cifra não padrão, etc., você está essencialmente afirmando ser um criptógrafo melhor do que as pessoas que fazem isso para ganhar a vida: então, a menos que você seja um criptógrafo profissional, ou esteja usando um incomum sistema de computador em que os padrões têm um desempenho mensurável mais baixo do que qualquer outro código ou hash, a melhor prática é manter as opções padrão.

    
por 12.11.2017 / 19:46

Tags

Alterando de linha para coluna com o comando shell script Mac OS X: java -cp não funciona no shell script - Não foi possível localizar ou carregar a classe principal