增加暴力破解 Luks 全盤加密的時間

任何試圖暴力破解您的加密磁碟的人都會在他們的電腦上對您的磁碟頭進行攻擊。您作業系統上的系統參數將毫無意義。

編輯

每U.溫德爾評論我看得更仔細了。我上面的原始陳述仍然是正確的，但是迭代時間是不是系統參數正如我從名字中錯誤地推測的那樣。

迭代時間根本不完全是時間，看起來是迭代我認為這是一種奇怪的使用時間的方式。它不是固定的迭代計數，而是在定義的毫秒內該特定機器上可能的迭代次數，如下所示迭代時間。所以是的迭代時間參數是時間，但它會導致不同的迭代計數作為特定機器速度的函數。

我發現Linux 部落格 – Mönchmeyer 博士資訊豐富。

我覺得這篇文章中的一些引言很有趣：

...主密鑰的計算導致了巨大的延遲時間。 aes 解密本身並不是啟動延遲時間的主要來源...

這表明強力密碼短語猜測速度減慢，但原始密鑰猜測不會受到影響。實際上，無論如何，原始密鑰猜測都是沒有希望的。

……還應該考慮到，將加密磁碟置於其物理控制之下的攻擊者會嘗試在比您的電腦更快的電腦上破解 LUKS 密碼。因此每秒數千萬次 PBKDF2 迭代肯定是可能的 - 這意味著每秒多次密碼嘗試。 …

再次感謝U·溫德爾讓踢球看得更遠。

您可以在加密分割區上執行此命令。這通常不包括，/boot因為系統需要載入程式碼來尋找和解密您的 LUKS 分割區。

若要尋找系統上所有 LUKS 加密的分割區：

sudo fdisk -l |grep ^/dev/ |grep -Eo '^\S+' |xargs --max-args=1 -d '\n' -I DEV bash -c 'sudo cryptsetup isLuks DEV && echo DEV'

請注意，cryptsetup手冊頁說使用--iter-time「確實會相應地減慢所有以後的 luksOpen 操作」。換句話說，即使您輸入了正確的密碼，您也必須等待 10 秒鐘才能解鎖分區。另外，我相信 10 秒是計算出來的你的系統，因此使用更快和/或多台電腦將能夠更快地破解您的密碼。

確保使用強密碼！

若要找出/boot對應的 LUKS 設備，請嘗試mount | grep /boot，然後使用cat /etc/crypttab並進行驗證blkid <your_device>。輸出應該類似：

/dev/sys/boot: UUID="f3aabb69-d3ca-41cf-87cf-b19585f2c123" TYPE="crypto_LUKS"

另請參閱我對該問題的評論。

看來我誤解了我想做的事情。如果這只會增加我自己機器上的時間，那麼確實沒有什麼意義。感謝大家提供的寶貴資訊。如果加密模組中內建有這樣的功能，那就太好了，這樣可以說超時可以在任何安裝了加密磁碟機的機器上進行。範例：無論將驅動器放入什麼設備，都會有 10 或 15 秒逾時。如果有人有一個很長的密碼（他們應該這樣做），那麼我不會認為這有任何不便，只會導致驅動器的進一步強化。