Portál AbcLinuxu, 7. května 2025 14:48

Dotaz: LUKS - parametry pri konfiguraci (uroven zabezpeceni)

29.8.2021 13:23 polo23 | skóre: 28 | blog: polo23
LUKS - parametry pri konfiguraci (uroven zabezpeceni)

Přečteno: 327×

Odpovědět | Admin

Ahoj,
chtel bych pozadat o pomoc pri zasifrovani home partition. Prejdu rovnou k veci - jde mi o to, abych se nedopustil nejake chyby, ktera by mohla vest k prolomeni sifrovani. Samozrejme jsem googlil, ale stale mam nejasnosti...

Souhlasite s parametry sifrovani nize a nebo byste to jeste nejak upravili?

cryptsetup luksFormat -c aes-xts-plain64 --key-size 512 --hash sha512 /dev/svazek

Obsah /etc/crypttab

homes /dev/nvme0n1p3 none luks,discard

// Tady si nejsem jisty tim parametrem "discard". Kdyz ho odstranim, tak vypnu TRIM a bude dochazet k vetsimu opotrebovani bunek SSD disku. Kdyz ho tam necham, vystavim se bezpecnostnimu riziku. Viz. link nize.
discard

Predem dekuji za postrehy.

Nástroje: Začni sledovat (0) ?

Odpovědi

29.8.2021 16:17 X
Rozbalit Rozbalit vše Re: LUKS - parametry pri konfiguraci (uroven zabezpeceni)

Je to v klidu:

If you don't care about leaking access patterns (filesystem type, used space) and don't have hidden truecrypt volumes inside this volume, then it should be safe to enable this option.

Pokud nejses paranoik tak to neres..

3.9.2021 12:15 trubicoid2
Rozbalit Rozbalit vše Re: LUKS - parametry pri konfiguraci (uroven zabezpeceni)

To asi bude luks1? Kouknul bych na --type luks2, to bude používat pro klíče argon2, což má větší nároky na paměť než PBKDF2 u luks1 a tím pádem se myslí, že to bude hůře rozlousknutelné i v budoucnu.

Ještě bych dal třeba --iter-time 10000, což udělá tolik iterací šifrování klíče, že otevření bude trvat 10000ms=10s. Sice člověk bude čekat při každým zadání hesla, ale je to zase hůř roslousknutelné. Defaultní je myslím 1s? Teď nevím.

Založit nové vlákno • Nahoru

Tiskni Sdílej: