我正在为 linux 发行版设置一个分区,我使用命令 : cryptsetup -y -v luksFormat /dev/sda1。
我相信当前版本的 cryptsetup 的默认选项是:
--hash ripemd160
--cipher aes-cbc-essiv:sha256
--key-size 256
--offset 0
--key-file default uses a passphrase
--keyfile-offset 0
--keyfile-size 8192kB
现在我想知道默认选项是否足够安全,或者我是否应该修改一些以提高安全性。例如,如果我将 key-size 更改为 512 或将 hash 更改为 sha512 会有什么权衡?其他参数是否值得更改?
LUKS 卷的默认加密选项实际上是:
password hash: sha1
encryption: aes-xts-plain64 with a 256-bit volume master key
对于大多数目的,默认选项是安全的。您可能想要更改的三件事:
--iter-time:这是花费多少毫秒cryptsetup来散列您的密码以创建初始插槽密钥;这将设置解锁卷时将来使用的迭代次数。如果您在异常缓慢的机器上创建卷,您可能希望将其设置为高于默认的“1000”以提高安全性。
--hash:sha1没有会影响其用于密码派生的已知弱点,但您可能希望将其替换为sha256.
--use-random:创建卷主密钥时cryptsetup默认使用的一些副本。/dev/urandom该--use-random参数将确保您/dev/random改用该参数。