UbuntuパーティションでLUKS暗号化を設定する過程で、cryptsetupのマニュアルページで--type luks2
オプションに出会いました。私が読んだことから、LUKS2を使用しない理由はないようですが、cryptsetupはデフォルトでLUKS1を使用します。
LUKS2を使用しない理由は何ですか?
ありがとう。
LUKS2は、ディスク暗号化管理用のLinux Unified Key Setupの2番目のバージョンです。オンディスク形式の機能を拡張し、いくつかの既知の問題と制限を削除するのはLUKS1 [1、2]形式のフォローアップです。 LUKS1の基本的な概念のほとんどは、Clemens Fruhwirthによるハードディスク暗号化の新しい方法 2 で設計されたとおりに残っています。 LUKSは、ディスク上の専用領域に汎用キーストアを提供し、複数のパスフレーズ1を使用して、保存されたキーのロックを解除できます。 LUKS2は、この概念を拡張して、メタデータをより柔軟に保存する方法、メタデータ領域が破損した場合にリカバリを提供する冗長情報、および他のツールと統合するための外部管理メタデータを保存するインターフェイスを提供します。 LUKS2の実装は、Linuxベースのdm-crypt ディスク暗号化で使用することを目的としていますが、一般的な形式です
基本的には、既に利用可能ですが、ユーザー/定義の標準ではかなり進行中の形式です。さらに 2.0.0バージョンのcryptsetup公式リリースノートを引用 、わずか6ヶ月前(強調鉱山):
Cryptsetup 2.0.0リリースノート
実験的な機能を備えた安定したリリース。
このバージョンでは、新しいオンディスクLUKS2形式が導入されています。
従来のLUKS(LUKS1として参照)は、従来の完全に後方互換性のある形式だけでなく、永久に完全にサポートされます。
注:このバージョンは、libcryptsetupライブラリのsonameを変更し、すべてのパブリックシンボルのメジャーバージョンを増やします。古い関数のほとんどは完全に下位互換性があるため、プログラムの再コンパイルのみが必要です。
認証されたディスク暗号化、非暗号化データ整合性保護(dm-integrity)、Argon2パスワードベースのキー派生関数の使用、およびディスク上のLUKS2フォーマット自体は新しい機能であり、バグが含まれている可能性があることに注意してください。
認証された暗号化のすべてのセキュリティ機能を提供するには、カーネル内のより優れた非再利用耐性アルゴリズムが必要です(下記の注を参照)。現時点では、実験的な機能として認証された暗号化を使用してください。
適切に構成されたバックアップまたは旧システムとの互換性が必要な本番システムなしでLUKS2を使用しないでください。
したがって、新しい機能のいずれかが必要でない限り、最良かつ最も安全なオプションは、デフォルト/安定LUKS1になります。一方、セットアップのテストや問題を少し気にしない場合は、LUKS2オプションを使用して問題を報告できます。 cryptsetup issue tracker にあります。