LUKSのハッシュアルゴリズムとしてscryptを使用できますか?パラメータを調整できますか?どうすればいいですか?
答え1
いいえ、LUKS 1はパスワードベースのキー派生機能で、PBKDF2のみをサポートします。 PBKDF2は暗号化ハッシュ関数に基づいて構築されており、ハッシュ関数を選択し--hash
て繰り返し数を選択できます--iter-time
。このユースケースでは、サポートされているすべてのハッシュ関数は同じように安全です。繰り返し回数が多いほど、攻撃者の作業は難しくなりますが、それに応じて通常のインストールも遅くなります。
登録内容があります質問LUKSにscryptをサポートさせてください。ディスク形式にはどのキー拡張が使用されているかを示すフィールドがないため、これは重要な変更です。これはすでに議論されたdm-cryptメーリングリストの簡単な紹介です。
ラックス2サポートアルゴン2、これはメモリハードパスワード(scryptなど)に基づくキー派生機能です。パスワードハッシュの新しい標準です。。
答え2
攻撃者が200ミリ秒間実行されるカスタムASICを使用している場合、ScryptハッシュのクラッキングはLUKSハッシュのクラッキングよりも約18,000倍高価です。繰り返し回数を増やして同じ保護を得るには、LUKSに1時間パスワードをハッシュさせる必要があります。楽しんでください:-)
LUKSはデフォルトで単純で単純にScryptに切り替える必要があります。上記の説明を混同しないでください。
答え3
カーネルに既にあるすべてのハッシュアルゴリズムを使用できるので、答えは原則として「はい」です(誰かがカーネルにそれを実装しようとしている場合)。しかし、実際には「いいえ」です。
答え4
短い答え - はい、scrypt(Wikipediaを参照)は以下に由来します。タスナップLUKS暗号化に使用できます。また、scrypt は Android 4.4+ リファレンスで実装されました。Androidディスク暗号化の見直し。しかし、これはより重要な質問である「どのように」に対する答えではありません。 Linux Mint または Fedora の scrypt に関する LUKS ガイドに感謝します。