web-dev-qa-db-ja.com

cryptsetup luksAddKeyが「最大キーファイルサイズを超えました」エラーをスローする-修正しますか? 14.04

14.04インストールのLUKS(root/swap/home)へのログイン時に3番目のパスが入力されないように、/etc/crypttabにホームキーエントリを追加しようとしています。 cryptsetup luksAddKeyを使用してキーを追加しようとすると、最大キーファイルサイズ超過エラーが発生します。

--keyfile-size 512引数を使用して、オーバーライドするかどうかを確認しようとしましたが、修正しませんでした。

また、起動時に同じパスワードを入力するだけで済むように、スワップに対して同じプロセスを実行する方法はありますか?それともセキュリティを犠牲にしますか?

3
Sorn

使用しようとしているキーファイルは少なくとも8 KiBで、cryptsetupのデフォルトの最大サイズを超えているようです。 --new-keyfile-size <size_in_bytes>オプションを使用してcryptsetupにキーを強制的に使用できますが、LUKSボリュームのマスターキーよりも大きいキーには何も提供されないため、より小さいサイズのランダムキーを使用することをお勧めしますマスターキーと同じサイズのキーに対する追加のセキュリティ(キーマテリアルが本当にランダムである限り)。

LUKSの最大マスターキーサイズは512ビットですが、256ビットにすることもできます。 Sudo cryptsetup luksDump /dev/<device>で「MKビット」のサイズを見つけることで、マスターキーのサイズを確認できます。

/dev/randomからキーを生成することをお勧めします。たとえば、ランダムな512ビット(64バイト)キーを生成するには:

head -c 64 /dev/random > luks_key
1
Vincent Yu