密码设置/luks的默认选项是否安全？

Question

我正在为linux发行版设置一个分区，并使用以下命令：cryptsetup -y -v luksFormat /dev/sda1。

我认为当前版本的密码设置的默认选项是：

--hash  ripemd160   
--cipher    aes-cbc-essiv:sha256    
--key-size  256 
--offset    0   
--key-file  default uses a passphrase   
--keyfile-offset    0   
--keyfile-size  8192kB  

来源

现在，我想知道默认的选项是否足够安全，或者我是否应该修改一些以获得更多的安全性。例如，如果我将密钥大小更改为512，或者将散列更改为sha512，那么代价是什么？其他参数值得改变吗？

Answer 1

LUKS卷的默认加密选项实际上是：

password hash: sha1
encryption: aes-xts-plain64 with a 256-bit volume master key

在大多数情况下，默认选项是安全的。有三件事你可能想要改变：

--iter-time：这是以毫秒为单位的cryptsetup将散列密码用于创建初始槽键的时间；这将设置将来解锁卷时使用的迭代次数。如果您要在一台异常慢的机器上创建卷，您可能希望将这个值设置为高于默认的"1000“，以提高安全性。

--hash：sha1没有已知的影响其密码派生使用的弱点，但是您可能希望用类似于sha256的东西来替换它。

--use-random：在创建卷主键时，cryptsetup的某些副本默认使用/dev/urandom。--use-random参数将确保您使用的是/dev/random。