전체 디스크 암호화에 무차별 대입을 적용하는 데 걸리는 시간을 늘리고 싶습니다. 저는 Ubuntu를 사용하고 있으며 설치 시 Luks로 암호화되었습니다. 10초마다 하나의 비밀번호만 입력할 수 있도록 다음 명령을 사용한다는 내용을 읽었습니다.
$ sudo cryptsetup luksChangeKey --iter-time 10000 <device>
"device"를 "/boot"로 바꾸겠습니까? 부팅 파티션, 기본 파티션 또는 둘 다에서 이 작업을 수행해야 하는지 잘 모르겠습니다.
답변1
암호화된 디스크에 무차별 공격을 시도하는 사람은 누구나 자신의 컴퓨터에서 디스크 헤더에 대한 공격을 실행하게 됩니다. OS의 시스템 매개변수는 의미가 없습니다.
편집하다
당U. 윈들코멘트 좀 더 자세히 살펴봤습니다. 위의 원래 진술은 여전히 옳습니다.반복 시간~이다시스템 매개변수가 아님내가 이름에서 잘못 가정했기 때문입니다.
반복 시간정확한 시간은 아닌 것 같습니다.반복시간을 사용하는 이상한 방식으로 정의됩니다. 고정된 반복 횟수 대신 다음과 같이 정의된 msec 내 특정 시스템에서 가능한 반복 횟수입니다.반복 시간. 그럼 그렇지요반복 시간매개변수는 시간이지만 특정 기계의 속도에 따라 반복 횟수가 달라집니다.
나는 찾았다Linux-블로그 – Dr. Mönchmeyer매우 유익합니다.
내가 흥미로웠던 기사의 몇 가지 인용문:
...마스터 키 계산으로 인해 엄청난 지연 시간이 발생합니다. aes-decryption 자체는 부팅 지연 시간의 주요 원인이 아닙니다.
이는 무차별 암호문 추측이 느려지지만 원시 키 추측은 영향을 받지 않음을 의미합니다. 현실적으로 원시 키 추측은 어쨌든 절망적입니다.
...또한 암호화된 디스크를 물리적으로 제어하는 공격자가 귀하의 컴퓨터보다 훨씬 빠른 컴퓨터에서 LUKS 암호를 해독하려고 시도한다는 점도 고려해야 합니다. 따라서 초당 천만 번의 PBKDF2 반복이 확실히 가능합니다. 이는 초당 여러 번의 비밀번호 시도를 의미합니다. ...
다시 한번 감사드립니다우. 윈들킥이 더 멀리 보이도록.
답변2
암호화된 파티션에서 이 명령을 실행합니다. /bootLUKS 파티션을 찾아 해독하려면 시스템이 코드를 로드해야 하기 때문에 이는 일반적으로 포함되지 않습니다 .
시스템에서 모든 LUKS 암호화 파티션을 찾으려면:
sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'
cryptsetup매뉴얼 페이지에는 --iter-time"이에 따라 이후의 모든 luksOpen 작업 속도가 느려진다" 고 나와 있습니다 . 즉, 올바른 암호를 입력하더라도 파티션 잠금을 해제하려면 10초를 기다려야 합니다. 또한 나는 10초가 다음과 같이 계산된다고 생각합니다.당신의시스템이므로 더 빠르고/또는 여러 대의 컴퓨터를 사용하면 암호를 더 빨리 해독할 수 있습니다.
강력한 암호를 사용하세요!
답변3
/bootLUKS 장치가 에 해당하는지 확인하려면 및 을 mount | grep /boot사용하여 확인하십시오 . 출력은 다음과 같아야 합니다.cat /etc/crypttabblkid <your_device>
/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"
또한 질문에 대한 내 의견을 참조하십시오.
답변4
제가 하려는 일을 오해한 것 같습니다. 이것이 내 컴퓨터의 시간만 증가시킨다면 실제로 별 의미가 없습니다. 훌륭한 정보를 제공해 주신 모든 분들께 감사드립니다. 이와 같은 기능이 암호화 모듈에 내장되어 암호화된 드라이브가 설치된 모든 시스템에 걸쳐 시간 초과가 전달될 수 있다면 좋을 것입니다. 예: 드라이브가 설치된 장치에 관계없이 10초 또는 15초의 시간 초과입니다. 누군가가 긴 암호를 가지고 있다면 이것이 어떤 종류의 불편함이라고 볼 수 없으며 드라이브가 더욱 강화될 뿐입니다.