Encryption
如果密鑰與加密數據一起儲存,LUKS dm-crypt 的安全性如何?
我已經在超級使用者處發布了這個問題,但在獲得答案方面沒有任何成功。這就是為什麼我把它貼在這裡。此外,我認為這是一個更適合它的地方,因為它是關於加密系統設計的問題,而不是關於它的使用的問題。
如果密鑰與加密數據一起儲存,LUKS dm-crypt 的安全性如何?對我來說,這就像把門鑰匙掛在它鎖上的門上。密碼足以保護它嗎?
繼續:如果將密鑰與加密的分區/容器一起保存是安全的,我是否正確假設 LUKS 標頭備份也可以被視為普通文件而不是秘密數據?
密鑰不與加密數據一起儲存,加密密鑰是。這是標題的一部分。簡而言之,當創建卷時,會生成一個隨機密鑰(主密鑰),並使用從密碼片語派生的密鑰對該隨機密鑰進行加密,並展開(使用稱為“afsplit”的算法)。此密鑰派生旨在花費相對較長的時間(半秒左右),因此嘗試密碼片語作為攻擊者的成本相對較高。通過設計,系統的安全性取決於密碼的質量;由於每次嘗試的時間很長,錯誤的密碼在一定程度上受到保護,但最終會失敗。標頭還包含一項獨立檢查,以查看輸入的密碼片語是否生成了正確的主密鑰。
標頭不是秘密的,但對於打開卷至關重要:它包含創建卷時已使用的所有參數,因此(使用正確的密碼)可以從標頭重新計算主密鑰(並使用此密鑰解密實際的文件系統數據)。所以它總是與數據一起儲存。建議備份標頭(到單獨的系統,例如 USB 驅動器),但這只是為了防止標頭損壞時數據失去(如果更改了位,則無法再重新計算正確的主密鑰) .