web-dev-qa-db-fra.com

Comment changer de difficulté de cryptage LUKS sur le chiffrement du disque complet de Manjaro

J'utilise Manjaro avec un chiffrement complet du disque, cependant, le temps d'attente au démarrage pour Decrypt est très long (je suppose à cause d'un réglage de difficulté élevé). Comment puis-je modifier la difficulté de cryptage/temps d'attente de la configuration de cryptage lors de l'installation?

encryptionluksmanjaro
5
Daniel Valland

Trop de hashing de la phrase secrète?

Si ce n'est que lent, car vous attendez que vous attendez beaucoup d'itérations de hachage de phrase secrète, vous pouvez ajouter une nouvelle phrase secrète avec un --iter-time, mais cela pourrait réduire la sécurité et permettre une supposition plus rapide des phraséphrases. Si vous vouliez attendre 1 seconde (1000ms), utilisez une commande comme:

cryptsetup -v luksAddKey --iter-time 1000 <device>

Vous devrez peut-être ensuite supprimer l'ancienne phrase secrète lente (avec luksKillSlot), à moins que ce soit une fente clé, c'est après le nouveau rapide (ils sont apparemment testés dans l'ordre, il peut donc avoir à attendre le premier emplacement lent à être testé avant le plus tard rapide). Ou modifiez votre commande ouverte initiale pour spécifier le nouveau plus rapide --key-slot numéro.

La commande luksChangeKey peut combiner les deux étapes, ajoutant une nouvelle touche puis supprimant l'ancienne touche (même si la page V1.7 Man disait spécifiquement que cela peut utiliser --iter-time, apparemment cela peut):

cryptsetup -v luksChangeKey --iter-time 1000 <device>

À quel point est-ce lent maintenant?

Testez combien de temps il faut pour déchiffrer/ouvrir votre appareil avec:

cryptsetup -v luksOpen --test-passphrase <device>

Ou tester une fente clé spécifique avec le --key-slot Option:

cryptsetup -v luksOpen --test-passphrase --key-slot N <device>

L'utilisation de la commande time pourrait aider, mais comptez également votre vitesse de frappe.

Vous pouvez utiliser la commande luksDump pour voir ce que l'emplacement clé actuel Iterations: Sont, c'est un exemple d'une fente très lente 0 et d'une fente très rapide 1:

Key Slot 0: ENABLED
    Iterations:             4663017
    Salt:                   ......
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: ENABLED
    Iterations:             1000
    Salt:                   ......
    Key material offset:    264
    AF stripes:             4000

À partir de man cryptsetup:

  • --iter-time, -i

    Le nombre de millisecondes à dépenser avec le traitement de la phrase secrète PBKDF2. Cette option est uniquement pertinente pour les opérations LUKS qui définissent ou modifient les phrase-phraséphrases, telles que Luksformat ou LuksaddKey. Spécifier 0 en tant que paramètre sélectionne la valeur par défaut compilée.

  • luksChangeKey <device> [<new key file>]

    Change une phrase secrète existante. La phrase secrète à modifier doit être fournie de manière interactive ou via -key. La nouvelle phrase secrète peut être fournie de manière interactive ou dans un fichier donné comme argument de position.

    Si une fente de clé est spécifiée (via -key-Slot), la phrase secrète de cette fente à clé doit être donnée et la nouvelle phrase secrète écrasera le logement de clé spécifié. Si aucun raccès-clé n'est spécifié et qu'il y a toujours une fente de clé libre, la nouvelle phrase secrète sera placée dans une fente de clé libre avant que la fente de la clé contenant l'ancienne phrase secrète soit purgée. S'il n'y a pas de fente de clé gratuite, la touche-clé avec l'ancienne phrase secrète est écrasée directement.

    AVERTISSEMENT : Si une fente clé est écrasée, une défaillance de support au cours de cette opération peut entraîner l'échec de l'échec après l'essuyage de l'ancienne phrase secrète et de rendre le conteneur Luks inaccessible.

Ce n'est pas le hachage de la phrase secrète?

  • Il y a beaucoup de raisons pour une heure de démarrage lente, peut-être que ce n'est pas liée au cryptage.

Ou si le cryptage/déchiffrement réel lui-même est trop lent, la modification de l'algorithme ou de la taille de la clé peut être nécessaire, ce qui nécessiterait de décrypter et de tout crypter tout. Il existe des programmes (ou des commandes dans les versions plus récentes) qui peuvent le faire en place, espérons-le sans rien perdre, mais avoir une sauvegarde serait plus qu'une excellente idée.

Mais dans ce cas, il ne serait pas simplement une longue attente initiale, mais toutes les lectures et écrires seraient un peu plus lents.

Vous pouvez utiliser le cryptsetup -v benchmark commande de voir des tests de vitesse, mais "Remarque: cette référence utilise uniquement la mémoire et est uniquement informative. Vous ne pouvez pas prédire directement la vitesse de cryptage de stockage réel de celui-ci."

3
Xen2050