内存大小更改后Linux硬盘加密密码无效

Question

我在Hyper虚拟机上安装了一个几乎全新的Kali linux。它在安装过程中配置了硬盘加密。

几个工作日后，我减少了为VM保留的RAM内存量，但是当我启动重新配置的机器时，用于解密硬盘的密码被报告为无效。

报告的错误是：

cryptsetup: ERROR: sdaX_crypt: cryptsetup failed, bad password or options?

如果我撤销配置更改密码再次有效..。

LUKS解密算法与机器内存大小之间是否存在关系？在我看来这是没有意义的。

可能是什么原因？

提前谢谢。

Answer 1

默认情况下，LUKS2使用argon2密钥派生函数，这就是所谓的硬内存--它在解除设备锁定时故意使用大量内存(最多可达1 GiB )，以防止对GPU的野蛮攻击。它所需要的RAM的确切数量取决于在创建LUKS设备时所拥有的RAM数量，所以如果以后减少RAM的数量，您将无法解锁它。

您可以使用cryptsetup luksChangeKey <device> (通常用于更改密码，但也允许更改密钥派生函数)更改它，或者使用--pbkdf-memory <RAM in kilobytes>来降低argon2所需的内存，或者使用--pbkdf pbkdf2使用更老的根本不使用内存的PBKDF2密钥派生函数。