我想知道安裝 Ubuntu 並加密安裝時的熵水平有多高。據我所知,唯一未加密的分割區是 /boot 分割區,因為它的引導程式未加密。當我使用 TrueCrypt 加密 Windows 時,系統要求我將滑鼠遊標移至視窗內以建立一個池以提高熵水平。
由於 Ubuntu 不提供類似的功能,我該如何確保金鑰、鹽等足夠安全?
答案1
雖然可能不會要求您移動滑鼠,但它仍然有助於建立熵/為您的隨機數產生器提供資料。
在 Linux 中,/dev/random是您的 PRNG。 /dev/urandom由 提供/dev/random,但提供更多原始資料可供使用。
存取硬碟上的資料、移動滑鼠和打字都是有助於為隨機數產生器提供資料的操作。
不幸的是,當您處於 Ubuntu 的 LiveCD 模式時,您很可能不會做很多可能導致熵生成增加的事情。
不過,您可以放心,Linux 中的隨機數產生已經過同行評審,應該是安全的。如果您自己無法接受這一點,我們非常歡迎您查看核心原始碼。
答案2
從 Ubuntu 22.04.2(或預設核心版本 5.15.0-47 開始),Linux Random 系統經歷了重大修訂,大大減少了熵池的大小。
請放心,安裝過程中的加密金鑰足夠強大 - 最新版本的 Random 更是如此。