阻止加密维使用的dm-crypt / cryptsetup

Question

我在用密码装置做dm-crypt的工作。我有兴趣了解它是否使用固定的块维来加密文件。

我对此做了更好的解释:我创建了一个LUKS信封，用luksFormat格式化它，然后打开并装入文件系统中。

然后我通常会在那个加密的文件夹里写文件。我想知道，如果我写了8KB文件，那么dm-crypt有可能将其加密为固定维度的块，万一有方法修改这个块维度呢？？

|-----------------------------------------------|
|+                       8Kb                   +|
|-----------------------------------------------|
|  b1  |  b2  |  b3  |      |      |      |  bn  |
|      |      |      |      |      |      |      |
--------------------------------------------------

Answer 1

你是在说密码所用的块大小吗？密码设置使用块密码，通常带有16字节的块大小。更改密码可能会更改块大小，请参阅/proc/crypto获取可用密码&详细信息和man cryptsetup。

• 密码设置有一个固定的块大小，512个字节，这里有一点来自它的常见问题：2.18与4k扇区有关吗？不是从地窖本身。加密将在512 B块中完成，但如果分区和文件系统对齐正确，并且文件系统使用4 4kiB的倍数作为块大小，dm-crypt层一次只处理8x512B= 4096B，开销可以忽略不计。LUKS确实将数据放置在偏移量上，这是每个默认的2MiB，不会破坏对齐。有关更多细节，请参见本常见问题的第6.12项。请注意，如果分区或文件系统不对齐，dm-crypt可能会使效果更糟。在5.16中也提到了: XTS模式和大块存在潜在的安全问题。LUKS和dm-crypt总是使用512 B块，这个问题不适用。
• 也可能对这个封闭的密码设置问题(#150) 增加对较大加密扇区(块)大小的dm-支持.：注释chriv.在2013-11-07 11:32:05: 00:00我对此很感兴趣。事实证明，有许多嵌入式系统带有内置密码加速器，如果给出可供使用的小块，它们就不能充分发挥作用。这方面的例子包括mv_cesa，最近在许多家庭NASes中都有这种情况(至少所有的orion/kirkwood板都是如此)。这包括大多数Synology和QNaps产品)米兰布罗兹@mbroz 5个月前评论道:扇区大小选项在内核4.12中，但在LUKS2中只支持(可选)。