Le opzioni predefinite di cryptsetup / luks sono sicure?

2

Sto configurando una partizione per una distribuzione linux e io uso il comando: cryptsetup -y -v luksFormat /dev/sda1 .

Credo che le opzioni predefinite per la versione corrente di cryptsetup siano:

--hash  ripemd160   
--cipher    aes-cbc-essiv:sha256    
--key-size  256 
--offset    0   
--key-file  default uses a passphrase   
--keyfile-offset    0   
--keyfile-size  8192kB  

Source

Ora mi chiedo se le opzioni di default sono abbastanza sicure o se dovrei modificarne alcune per maggiore sicurezza. Ad esempio quale sarebbe il compromesso se avessi cambiato la dimensione della chiave in 512 o l'hash in sha512? Gli altri parametri meritano di essere cambiati?

    
posta ChiseledAbs 26.07.2016 - 11:28
fonte

1 risposta

2

Le opzioni di crittografia predefinite per i volumi LUKS sono in realtà:

password hash: sha1
encryption: aes-xts-plain64 with a 256-bit volume master key

Per la maggior parte degli scopi, le opzioni predefinite sono sicure. Tre cose che potresti voler cambiare:

--iter-time : questo è il tempo trascorso in millisecondi in cui% co_de spende l'hashing della passphrase per creare la chiave dello slot iniziale; questo imposta il numero di iterazioni utilizzate in futuro quando si sblocca il volume. Se stai creando il tuo volume su una macchina insolitamente lenta, ti consigliamo di impostarla più in alto del valore predefinito "1000" per migliorare la sicurezza.

cryptsetup : --hash non ha punti deboli noti che potrebbero influire sul suo utilizzo per la derivazione della password, ma potresti voler sostituirlo con qualcosa come sha1 .

sha256 : alcune copie di --use-random di default su cryptsetup quando si crea la chiave master del volume. Il parametro /dev/urandom assicurerà che stai utilizzando --use-random invece.

    
risposta data 27.07.2016 - 03:34
fonte

Leggi altre domande sui tag