最近LUKSパーティションを作成し、ここにUbuntu 16.04.3 LTSをインストールしました。私はUbuntu 16.04.3 LTS Live USB経由でこれを行いました。
今これが安全かどうか疑問に思います。 cryptsetupのマニュアルページを読んだとき、「--use-random」と「--use-urandom」の部分は次のようになります。
--use-random
--use-urandom
For luksFormat these options define which kernel random number generator will be
used to create the master key (which is a long-term key).
See NOTES ON RANDOM NUMBER GENERATORS for more information. Use cryptsetup --help to
show the compiled-in default random number generator.
WARNING: In a low-entropy situation (e.g. in an embedded system), both selections
are problematic. Using /dev/urandom can lead to weak keys. Using /dev/random can
block a long time, potentially forever, if not enough entropy can be harvested by
the kernel.
私は今日のエントロピーが何であるかを発見し、リアルタイム展開のエントロピーが非常に低いことに気づいたので、この警告が私に当てはまると思います。 LUKSパーティションを作成するときに--use-randomフラグを含めたかどうか覚えておらず、使用されたものはわかりませんが(urandomがデフォルトと思われたため)、どちらのオプションも良くないという警告が表示されます。
参考として、パーティションの作成に使用するコマンドは次のとおりです。
sudo cryptsetup --verbose --cipher aes-xts-plain64:sha512 --key-size 512 --hash sha512 --iter-time 5000 luksFormat /dev/sdaX
(しかし、私が言ったように、このコマンドに--use-randomフラグを含めたかどうか覚えていません)
このような状況についてどう思いますか?再インストールする必要があると思いますか?では、どのオプションを使用する必要がありますか?
答え1
リアルタイム展開は、通常のマシンと同じエントロピーを持っています。なぜその数が少ないのですか?それらはいすべての実用的な目的のための一般的な機械です。特にグラフィックライブセッションの場合、マウスの動きがエントロピーの良いソースだからです。--use-random
対。の場合、--use-urandom
同じセキュリティを提供しますが、urandom
ブロックしません。/dev/random
代わりに使用する理由はありません。/dev/urandom
。
デフォルト以外の値を使用することはほとんどありませんcryptsetup
。デフォルト以外のパスワードなどを指定することで、あなたは本質的に生活のためにこれを行う人よりも優れたパスワード作成者であると主張することになります。はいプロのパスワード作成者である場合、またはデフォルトのパフォーマンスが他のパスワードやハッシュよりも著しく低い珍しいコンピュータシステムで作業している場合は、最良の方法はデフォルトオプションに固執することです。