LINUX.ORG.RU
ФорумSecurity

Есть ли разница, какой длины ключ LUKS?

 , ,


0

2

Скажется ли на производительности и на скорости разблокировки тома то, какой длины у меня ключ LUKS (тот, который задаётся при выполнении cryptsetup luksFormat)? А тот ключ, длина которого задаётся через --key-size? Заранее спасибо

★★
MosMetroFree
В убунте поломали шифрование

Небольшой офтоп. Некоторые рекомендуют вместо использования LUKS создавать разделы в неразмеченой области диска. Примерно так 

cryptsetup -c aes-cbc-plain64 -h 512 -d /keys/key.dat create cryptofs /dev/sda

QIQuJIunn ★★
()
Ответ на: комментарий от smilessss

Видимо в том, что это более скрытно, нежели обычный раздел с сигнатурой LUKS

elecon_rou
()
Ответ на: комментарий от QIQuJIunn

Тогда уже LUKS с отдельным header (который можно таскать на флешке).

Chaser_Andrey ★★★★★
()

Скажется ли на производительности

Нет. Ключ используется для шифрования мастер ключа, которым шифруется диск. Т.е., разница будет только на этапе расшифровки мастер-ключа. Далее, используется блочное симметричное шифрование. Размер мастер-ключа на это, ЕМНИП, никак не влияет, потому что блок фиксированного размера.

и на скорости разблокировки тома

Да, но я сомневаюсь, что на современном компьютере ты вообще в силах заметить разницу.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Нет. Ключ используется для шифрования мастер ключа, которым шифруется диск. Т.е., разница будет только на этапе расшифровки мастер-ключа. Далее, используется блочное симметричное шифрование. Размер мастер-ключа на это, ЕМНИП, никак не влияет, потому что блок фиксированного размера.

Наоборот. Этот параметр в том числе задаёт размер ключа симметричного алгоритма (заданного через --cipher): 

       --key-size, -s <bits>
              Sets key size in bits. The argument has to be a multiple of 8. The possible key-sizes are limited by the cipher and mode used.

              See /proc/crypto for more information. Note that key-size in /proc/crypto is stated in bytes.
Так что будет напрямую влиять на скорость работы с диском.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Точно, я был неправ. Я забыл, в каком формате задается cipher и думал, что там явно указывается размер блока, типа aes-xts-512. Спутал с форматом openvpn >_<

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Ты был прав во всё кроме «не влияет» :) Мастер ключ шифруется тем же блочным алгоритмом и размером блока как и остальной диск, так что да, на время открытия тома оно тоже будет влиять.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

...так что да, на время открытия тома оно тоже будет влиять.

For the sake of argument, в LUKS используется PBKDF2 для деривации мастер ключа, и кол-во итераций подбирается таким образом, что их выполнение занимает 1 секунду (дефолт), так что, фактически, на время открытия тома оно влиять не будет.

anonymous
()
Ответ на: комментарий от anonymous

PBDKF2 не для деривации мастер-ключа используется, а для получения ключа (из введенного тобой пароля) для (де)шифровки мастер-ключа. Так что да, время работы алгоритма будет равно 1 секунде на той системе, на которой форматировался раздел. Если же открывать на каком-нибудь арме, то можно успеть чаю попить)

Сам же мастер-ключ размазан по хёдеру используя AF-stripes и дешифруется блочным алгоритмом, таким же как и весь диск. Но сам ключ маленький, так что я не думаю, что размер ключа и алгоритм будут как-либо заметно влиять на скорость его расшифровки - миллисекунды.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

Ну да, я попутал немного алгоритм и определения :) Но хотел сказать именно про эту секунду.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
MosMetroFree
Security
В убунте поломали шифрование