Live USBでセキュアLUKSパーティションを設定する方法

Live USBでセキュアLUKSパーティションを設定する方法

最近LUKSパーティションを作成し、ここにUbuntu 16.04.3 LTSをインストールしました。私はUbuntu 16.04.3 LTS Live USB経由でこれを行いました。

今これが安全かどうか疑問に思います。 cryptsetupのマニュアルページを読んだとき、「--use-random」と「--use-urandom」の部分は次のようになります。

   --use-random

   --use-urandom
          For  luksFormat  these  options  define which kernel random number generator will be
          used to create the master key (which is a long-term key).

          See NOTES ON RANDOM NUMBER GENERATORS for more information. Use cryptsetup --help to
          show the compiled-in default random number generator.

          WARNING:  In  a  low-entropy situation (e.g. in an embedded system), both selections
          are problematic.  Using /dev/urandom can lead to weak keys.  Using  /dev/random  can
          block  a  long  time, potentially forever, if not enough entropy can be harvested by
          the kernel.

私は今日のエントロピーが何であるかを発見し、リアルタイム展開のエントロピーが非常に低いことに気づいたので、この警告が私に当てはまると思います。 LUKSパーティションを作成するときに--use-randomフラグを含めたかどうか覚えておらず、使用されたものはわかりませんが(urandomがデフォルトと思われたため)、どちらのオプションも良くないという警告が表示されます。

参考として、パーティションの作成に使用するコマンドは次のとおりです。

sudo cryptsetup --verbose --cipher aes-xts-plain64:sha512 --key-size 512 --hash sha512 --iter-time 5000 luksFormat /dev/sdaX

(しかし、私が言ったように、このコマンドに--use-randomフラグを含めたかどうか覚えていません)

このような状況についてどう思いますか?再インストールする必要があると思いますか?では、どのオプションを使用する必要がありますか?

答え1

リアルタイム展開は、通常のマシンと同じエントロピーを持っています。なぜその数が少ないのですか?それらはいすべての実用的な目的のための一般的な機械です。特にグラフィックライブセッションの場合、マウスの動きがエントロピーの良いソースだからです。--use-random対。の場合、--use-urandom同じセキュリティを提供しますが、urandomブロックしません。/dev/random代わりに使用する理由はありません。/dev/urandom

デフォルト以外の値を使用することはほとんどありませんcryptsetup。デフォルト以外のパスワードなどを指定することで、あなたは本質的に生活のためにこれを行う人よりも優れたパスワード作成者であると主張することになります。はいプロのパスワード作成者である場合、またはデフォルトのパフォーマンスが他のパスワードやハッシュよりも著しく低い珍しいコンピュータシステムで作業している場合は、最良の方法はデフォルトオプションに固執することです。

関連情報