Live USB에서 보안 LUKS 파티션을 설정하는 방법

Live USB에서 보안 LUKS 파티션을 설정하는 방법

최근에 LUKS 파티션을 만들고 여기에 Ubuntu 16.04.3 LTS를 설치했습니다. 저는 Ubuntu 16.04.3 LTS 라이브 USB를 통해 이 작업을 수행했습니다.

이제 이것이 안전한지 궁금합니다. cryptsetup 매뉴얼 페이지를 읽었을 때 "--use-random" 및 "--use-urandom" 부분은 다음과 같습니다.

   --use-random

   --use-urandom
          For  luksFormat  these  options  define which kernel random number generator will be
          used to create the master key (which is a long-term key).

          See NOTES ON RANDOM NUMBER GENERATORS for more information. Use cryptsetup --help to
          show the compiled-in default random number generator.

          WARNING:  In  a  low-entropy situation (e.g. in an embedded system), both selections
          are problematic.  Using /dev/urandom can lead to weak keys.  Using  /dev/random  can
          block  a  long  time, potentially forever, if not enough entropy can be harvested by
          the kernel.

나는 오늘 엔트로피가 무엇인지 발견하고 실시간 배포의 엔트로피가 매우 낮다는 것을 깨달았으므로 이 경고가 나에게 적용된다고 믿습니다. LUKS 파티션을 생성할 때 --use-random 플래그를 포함했는지 기억이 나지 않아서 어떤 것이 사용되었는지는 알 수 없지만(urandom이 기본값이라고 생각했기 때문에) 두 옵션 모두 좋지 않다는 경고가 표시됩니다.

참고로 파티션을 생성하는 데 사용하는 명령은 다음과 같습니다.

sudo cryptsetup --verbose --cipher aes-xts-plain64:sha512 --key-size 512 --hash sha512 --iter-time 5000 luksFormat /dev/sdaX

(그러나 내가 말했듯이 이 명령에 --use-random 플래그를 포함했는지 기억이 나지 않습니다)

이러한 상황에 대해 어떻게 생각하시나요? 다시 설치해야 할 것 같나요? 그렇다면 어떤 옵션을 사용해야 합니까?

답변1

실시간 배포는 일반 머신만큼 엔트로피가 높습니다. 왜 그 수가 적습니까? 그들을모든 실용적인 목적을 위한 일반 기계입니다. 특히 그래픽 라이브 세션인 경우 마우스 움직임이 엔트로피의 좋은 소스이기 때문입니다. --use-randomvs. 의 경우 --use-urandom동일한 보안을 제공하지만 urandom차단하지는 않습니다./dev/random대신에 사용할 이유가 없습니다 ./dev/urandom.

기본값 이외의 다른 값을 사용하는 경우는 거의 없습니다 cryptsetup. 기본이 아닌 비밀번호 등을 지정함으로써 귀하는 본질적으로 생계를 위해 이 작업을 수행하는 사람들보다 더 나은 암호 작성자라고 주장하는 것입니다.전문 암호 작성자이거나 기본값의 성능이 다른 암호나 해시보다 현저히 낮은 특이한 컴퓨터 시스템으로 작업하는 경우 가장 좋은 방법은 기본 옵션을 고수하는 것입니다.

관련 정보