¿Son seguras las opciones predeterminadas de cryptsetup / luks?

Navega tus respuestas
2

Estoy configurando una partición para una distribución de Linux y uso el comando: cryptsetup -y -v luksFormat /dev/sda1 .

Creo que las opciones predeterminadas para la versión actual de cryptsetup son: 

--hash  ripemd160   
--cipher    aes-cbc-essiv:sha256    
--key-size  256 
--offset    0   
--key-file  default uses a passphrase   
--keyfile-offset    0   
--keyfile-size  8192kB

Fuente

Ahora me pregunto si las opciones predeterminadas son lo suficientemente seguras o si debo modificar algunas para mayor seguridad. Por ejemplo, ¿cuál sería la compensación si cambiara el tamaño de la clave a 512 o el hash a sha512? ¿Merece la pena cambiar otros parámetros?

    
pregunta ChiseledAbs 26.07.2016 - 11:28
fuente

1 respuesta

2

Las opciones de cifrado predeterminadas para los volúmenes LUKS son en realidad: 

password hash: sha1
encryption: aes-xts-plain64 with a 256-bit volume master key

Para la mayoría de los propósitos, las opciones predeterminadas son seguras. Tres cosas que podrías querer cambiar:

--iter-time : Esto es el tiempo en milisegundos que cryptsetup dedica a su frase de contraseña para crear la clave de la ranura inicial; esto establece el número de iteraciones utilizadas en el futuro al desbloquear el volumen. Si está creando su volumen en una máquina inusualmente lenta, es posible que desee establecer un valor superior al "1000" predeterminado para mejorar la seguridad.

--hash : sha1 no tiene debilidades conocidas que puedan afectar su uso para la obtención de contraseñas, pero es posible que desee reemplazarlo por algo como sha256 .

--use-random : algunas copias de cryptsetup por defecto usan /dev/urandom al crear la clave maestra de volumen. El parámetro --use-random asegurará que estés utilizando /dev/random en su lugar.

    
respondido por el Mark 27.07.2016 - 03:34
fuente

Lea otras preguntas en las etiquetas

Android N - El proveedor de cifrado de seguridad está en desuso ¿Puede un proveedor de servicios no compatible con PCI proporcionar el cumplimiento de SAQ A-EP?