まず、私はこのスレッドを読みました。 既存のdm-crypt LUKSデバイスのハッシュ仕様と繰り返し時間をどのように変更しますか?
提案には次のコマンドがあります。
cryptsetup-reencrypt --keep-key
しかし、この答えは7年前の答えであり、実験的なものと見なされます。私の側では、ライブUSB経由でDebianをインストールしました。ディスク暗号化インストールプロセス中。したがって、デバイスを起動するときは、grubから直接復号化する必要があります。--iter-timeパスワードが正確であっても、復号化時間が基本的に約30秒に長すぎるため、一部では--iter-timeこれを300。
だから別の質問があります。
cryptsetup-reencrypt --keep-key -iter-time DEVICE今日のコードは正しいですか?- Luks があるパーティションは で
/dev/nvme0n1p2、 luks パーティションは であり/dev/mapper/luks-xxxx、 swap パーティションも同様です。どのデバイスを選択するか:cryptsetup-reencrypt --keep-key -iter-time /dev/nvme0n1p2またはcryptsetup-reencrypt --keep-key -iter-time /dev/mapper/luks-xxxx? - grubメニューのコマンドで使用する必要がありますか、またはライブUSBで使用する必要がありますか?
- 私のデータはフォーマットされていますか? (2回聞くのが一番です)
とても感謝しています。
参考までに:
- オペレーティングシステム:ダーバン
- Luksのインストール方法:ライブUSB経由(「ディスク暗号化」を選択)
- ラックスバージョン:ラッキー1
- スロットマシン:キーホーム0と1は有効になり、キーホーム2〜7は無効になります。
答え1
変更を加えたい場合は、デバイスを再暗号化する必要はありません--iter-time。ディスク上のデータが暗号化される方法(つまり、他のキー、アルゴリズム、または接続問題の場合はハッシュ関数)を変更する場合は、再暗号化を使用します。繰り返し時間は重要なスロットの「属性」です。これはどれくらいの時間がかかりますか。PBKDF2パスワードからキーを派生するときに使用されます。これを変更するには、キーホームのプロパティを変更するだけです。
cryptsetup luksChangeKey /dev/nvme0n1p2 --iter-time <time in ms>
パスワードを要求し、そのパスワードを使用してキースロットのプロパティを変更し、オプションで操作に使用するキースロットを選択します--key-slot(複数のキースロットに同じパスワードがある場合)。両方のキーホームの繰り返し時間を変更するには、この操作を繰り返す必要があります。
(また、パスワードを変更するように求められます。以前のパスワードを再利用できます。luksConvertKeyこの場合、パラメータのみが変更され、LUKS 1では機能しません。)
結果を確認でき、cryptsetup luksDump /dev/nvme0n1p2PBKDFの繰り返し回数が減少したことがわかります。