web-dev-qa-db-ja.com

Manjaro Full Disk EncryptでLuks暗号化の難易度を変更する方法

フルディスク暗号化でmanjaroを使用していますが、起動時の復号化の待機時間が非常に長くなっています(設定が非常に難しいためと思います)。インストール中に暗号化の難易度/暗号化設定の待機時間を変更するにはどうすればよいですか?

encryptionluksmanjaro
4
Daniel Valland

パスフレーズのハッシュが多すぎますか?

多くのパスフレーズハッシュの反復を待っているために遅い場合は、より速い--iter-timeで新しいパスフレーズを追加できますが、セキュリティが低下し、パスフレーズの推測が速くなる可能性があります。 1秒(1000ミリ秒)待機する場合は、次のようなコマンドを使用します。

cryptsetup -v luksAddKey --iter-time 1000 <device>

キースロットが新しいクイックパスフレーズの後にある場合を除いて、古いスローパスフレーズ(luksKillSlotを使用)を削除する必要がある場合があります(明らかに順番にテストされているため、最初のスローパススロットが後で簡単にテストする前にテストしてください)。または、最初のopenコマンドを変更して、より速い--key-slot番号を指定します。

luksChangeKeyコマンドは、2つのステップを組み合わせて、新しいキーを追加してから古いキーを削除することができます(v1.7のマニュアルページでは、--iter-timeを使用できると明記されていませんが、明らかに使用できます)。 :

cryptsetup -v luksChangeKey --iter-time 1000 <device>

今はどれくらい遅いですか?

デバイスを復号化/開くのにかかる時間をテストします:

cryptsetup -v luksOpen --test-passphrase <device>

または、--key-slotオプションを使用して特定のキースロットをテストします。

cryptsetup -v luksOpen --test-passphrase --key-slot N <device>

timeコマンドを使用すると役立つ場合がありますが、入力速度も考慮してください。

luksDumpコマンドを使用して、現在のキースロットIterations:を確認できます。これは、非常に遅いスロット0と非常に速いスロット1の例です。

Key Slot 0: ENABLED
    Iterations:             4663017
    Salt:                   ......
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: ENABLED
    Iterations:             1000
    Salt:                   ......
    Key material offset:    264
    AF stripes:             4000

man cryptsetupから:

  • --iter-time-i

    PBKDF2パスフレーズ処理に費やすミリ秒数。このオプションは、luksFormatやluksAddKeyなどのパスフレーズを設定または変更するLUKS操作にのみ関係します。パラメータとして0を指定すると、コンパイル済みのデフォルトが選択されます。

  • luksChangeKey <device> [<new key file>]

    既存のパスフレーズを変更します。変更するパスフレーズは、対話的に、または--key-fileを介して提供する必要があります。新しいパスフレーズは、インタラクティブに、または位置引数として指定されたファイルで提供できます。

    キースロットが指定されている場合(--key-slotを介して)、そのキースロットのパスフレーズを指定する必要があり、新しいパスフレーズが指定されたキースロットを上書きします。キースロットが指定されておらず、まだ空きキースロットがある場合、古いパスフレーズを含むキースロットが削除される前に、新しいパスフレーズが空きキースロットに入れられます。空きキースロットがない場合は、古いパスフレーズのキースロットが直接上書きされます。

    警告:キースロットが上書きされた場合、この操作中にメディア障害が発生すると、古いパスフレーズがワイプされた後に上書きが失敗し、LUKSコンテナーにアクセスできなくなります。

パスフレーズハッシュではありませんか?

  • 起動時間が遅いのには多くの理由があり、おそらく暗号化とは関係がないのでしょう。

または、実際の暗号化/復号化自体が遅すぎる場合は、アルゴリズムまたはキーのサイズを変更する必要があり、すべてを復号化および再暗号化する必要があります。うまくいけば何も失うことなくそれをインプレースで実行できるプログラム(または新しいバージョンのコマンド)がありますが、バックアップがあることは優れたアイデア以上のものになるでしょう。

ただし、その場合、初期の待機時間が長くなるだけでなく、すべての読み取りと書き込みが少し遅くなります。

cryptsetup -v benchmarkコマンドを使用して速度テストを確認できますが、 "注:このベンチマークはメモリのみを使用しており、情報提供のみを目的としています。実際のストレージの暗号化速度を直接予測することはできません。 "

3
Xen2050