먼저 나는 이 스레드를 읽었습니다. 기존 dm-crypt LUKS 장치의 해시 사양 및 반복 시간을 어떻게 변경합니까?
제안 사항 중에는 다음 명령이 있습니다.
cryptsetup-reencrypt --keep-key
그러나 이 답변은 7년 전의 답변이며 실험적인 것으로 간주됩니다. 내 편에서는 라이브 USB를 통해 데비안을 설치했습니다.디스크 암호화설치 과정에서. 따라서 장치를 부팅할 때 grub에서 직접 암호를 해독해야 합니다. --iter-time암호가 정확하더라도 암호 해독 시간이 기본적으로 약 30초로 너무 길어서 일부에서는 --iter-time이를 300.
그래서 다른 질문이 있습니다.
cryptsetup-reencrypt --keep-key -iter-time DEVICE오늘의 코드가 정확합니까?- Luks가 있는 파티션은 이고
/dev/nvme0n1p2, luks 파티션은 이며/dev/mapper/luks-xxxx, swap 파티션도 마찬가지입니다. 어떤 장치를 선택할 것인가:cryptsetup-reencrypt --keep-key -iter-time /dev/nvme0n1p2또는cryptsetup-reencrypt --keep-key -iter-time /dev/mapper/luks-xxxx? - grub 메뉴의 명령에서 사용해야 합니까, 아니면 라이브 USB에서 사용해야 합니까?
- 내 데이터가 포맷되나요? (두 번 물어보는 것이 가장 좋습니다)
매우 감사합니다.
참고로:
- 운영 체제:더반
- Luks 설치 방법:라이브 USB를 통해("디스크 암호화" 선택)
- 럭스 버전:럭키 1
- 슬롯 머신:키홈 0과 1은 활성화되고, 키홈 2~7은 비활성화됩니다.
답변1
단지 변경만 하려는 경우에는 장치를 다시 암호화할 필요가 없습니다 --iter-time. 디스크의 데이터가 암호화되는 방식(즉, 다른 키, 알고리즘 또는 연결 문제의 경우 해시 함수)을 변경하려는 경우 재암호화를 사용합니다. 반복 시간은 중요한 슬롯의 "속성"입니다. 이는 얼마나 오래 걸릴지 알려줍니다.PBKDF2암호에서 키를 파생할 때 사용됩니다. 이를 변경하려면 키 홈 속성을 변경하면 됩니다.
cryptsetup luksChangeKey /dev/nvme0n1p2 --iter-time <time in ms>
비밀번호를 요청하고 해당 비밀번호를 사용하여 키 슬롯의 속성을 변경하고 선택적으로 작업에 사용할 키 슬롯을 선택합니다 --key-slot(여러 키 슬롯에 동일한 비밀번호가 있는 경우). 두 키홈 모두에 대한 반복 시간을 변경하려면 이 작업을 반복해야 합니다.
(또한 비밀번호를 변경하라는 메시지가 표시됩니다. 이전 비밀번호를 재사용할 수 있습니다. luksConvertKey이 경우 매개변수만 변경되며 LUKS 1에서는 작동하지 않습니다.)
결과를 확인할 수 있으며 cryptsetup luksDump /dev/nvme0n1p2PBKDF 반복 횟수가 감소한 것을 볼 수 있습니다.