dm-crypt/cryptsetupに使用するブロック暗号化ディメンション

dm-crypt/cryptsetupに使用するブロック暗号化ディメンション

cryptsetupを使用してdm-cryptを開発しています。ファイルを暗号化するために固定ブロックサイズを使用するかどうかを知りたいです。
よりよく説明します。 LUKSエンベロープを作成し、luksFormatでフォーマットしてから開き、ファイルシステムにマウントします。
その後、通常は暗号化されたフォルダにファイルを書き込みます。 8Kbファイルを作成する場合は、dm-cryptがそれを固定サイズのブロックで暗号化できるかどうか、そしてこのブロックサイズを変更する方法があるかどうかを知りたいです。

|-----------------------------------------------|
|+                       8Kb                   +|
|-----------------------------------------------|
|  b1  |  b2  |  b3  |      |      |      |  bn  |
|      |      |      |      |      |      |      |
--------------------------------------------------

答え1

パスワードに使用されるブロックサイズについて話していますか? Cryptsetupは通常、ブロックサイズが16バイトのブロックパスワードを使用します。パスワードを変更すると、ブロックサイズが変わる可能性があります。/proc/crypto利用可能なパスワードと詳細も確認してくださいman cryptsetup

  • Cryptsetupのブロックサイズは512バイトに固定されています。以下は一部です。よくある質問:

    2.18 4kセクターに問題がありますか?

    dm-crypt自体ではありません。暗号化は512Bブロックで実行されますが、パーティションとファイルシステムが正しく整列され、ファイルシステムがブロックサイズで4kiBの倍数を使用する場合、dm-cryptレイヤーは一度に8 x 512B = 4096Bのみを処理します。無視できるオーバーヘッドで。 LUKSは特定のオフセット(デフォルト:2MiB)にデータを配置し、ソートを中断しません。詳細については、このFAQのトピック6.12を参照してください。パーティションやファイルシステムが誤ってソートされると、dm-cryptが状況をさらに悪化させる可能性があります。

    5.16でも言及されました:

    XTSモードと大規模チャンクには潜在的なセキュリティ問題があります。 LUKSとdm-cryptは常に512Bブロックを使用し、この質問は適用されません。

  • この閉じた暗号化問題(#150)にも興味があるかもしれません。より大きな暗号化セクタ(ブロック)サイズのdm-cryptサポートを追加:

    chriv... 2013-11-07 11:32:05にコメントしました:

    私はこれに非常に興味があります。小さなブロックを使用すると、適切に機能しないオンボード暗号化アクセラレータを備えた多くの組み込みシステムがあることがわかりました。たとえば、今日多くの家庭用NASで見つけることができるmv_cesaがあります(少なくともすべてのOrion / Kirkwoodボード。これにはほとんどのSynologyおよびQNaps製品が含まれます)。

    Milan Broz @mbroz 5ヶ月前コメント - 所有者:

    セクタサイズオプションはカーネル 4.12 で使用できますが、LUKS2 でのみ(オプションで)サポートされます。

関連情報