LUKS এর জন্য এনক্রিপশন উপলভ্য পদ্ধতিগুলি তালিকাভুক্ত করুন

আমি হার্ড ডিস্কগুলি এনক্রিপ্ট করার একটি বৈধ এবং এখনও সর্বশেষতম উপায় সন্ধান করছিলাম। কিছু গবেষণা করার পরে আমি LUKS এর মুখোমুখি হয়েছি এবং এটিকে একটি শট দেওয়ার সিদ্ধান্ত নিয়েছি। সুতরাং আমি কীভাবে এটির সাথে এইচডিডি সঠিকভাবে এনক্রিপ্ট করব তার কয়েকটি উদাহরণ সন্ধান করেছি:

cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3

এর - চিফার এবং - হ্যাশ অংশটি আমার পক্ষে সবচেয়ে আকর্ষণীয় ছিল, তাই আমি নিজেকে বিভিন্ন সাইফার এবং হ্যাশগুলি সম্পর্কে উল্লেখ করার চেষ্টা করেছি যা LUKS এর জন্য বিশেষভাবে ব্যবহারযোগ্য। বর্তমানে ব্যবহৃত লিনাক্সের জন্য একটি মেশিন বান্ধব বিন্যাসে উপলব্ধ এনক্রিপশন ফর্মগুলি প্রদর্শন করে এমন একটি ফাইল খোলার পাশাপাশি আমি কোনও দরকারী তথ্য খুঁজে পাইনি। তবে আমাকে যেমন বলা হয়েছিল যে এই ফাইলটি সম্ভবত সমস্ত এনক্রিপশন উপায়গুলির সম্পূর্ণ পরিধি অনুপস্থিত তা ছাড়া এটি যে কোনওভাবেই, যাহাই হউক না কেন, দৈনিক ভিত্তিতে এটির মোকাবেলা করে না এমন ব্যক্তির পক্ষে পড়া খুব কঠিন।

আমার প্রশ্ন: LUKS এনক্রিপশনের জন্য কি সাইফার / হ্যাশগুলির একটি সম্পূর্ণ তালিকা আছে ?

একটি যা কেবল আমাকে আমি কী চয়ন করতে পারি তা দেখায় ... এবং সম্ভবত এই বিভিন্ন উপায়ে পার্থক্য কী তা সম্পর্কে একটি সংক্ষিপ্ত বিবরণ দেয়।

এটি মূলত আপনার কার্নেলের উপর নির্ভর করে, সুতরাং " দেখুন / প্রকোপ / ক্রিপ্টো " হ'ল "উত্তর" বলে মনে করা হচ্ছে। ক্রিপ্টসেটআপ ম্যান পৃষ্ঠাটি এটি বলে:

NOTES ON SUPPORTED CIPHERS, MODES, HASHES AND KEY SIZES

   The available combinations of ciphers, modes, hashes and key  sizes  depend
   on  kernel  support.  See /proc/crypto for a list of available options. You
   might need to load additional kernel crypto modules in order  to  get  more
   options.

   For  the  --hash option, if the crypto backend is libgcrypt, then all algo‐
   rithms supported by the gcrypt library are  available.   For  other  crypto
   backends some algorithms may be missing.

যাইহোক, আমি /proc/cryptoকোনও সর্প বা এক্সটিএস (এএস) উল্লেখ করি না, সুতরাং পরিবর্তে আমি কি cryptsetup benchmarkপ্রতিবেদনগুলি দেখার সুপারিশ করব (এবং এটি (ম্যাম) গতিও প্রদর্শন করবে)। উদাহরণ স্বরূপ:

$ cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1       292752 iterations per second
PBKDF2-sha256     221362 iterations per second
PBKDF2-sha512     142010 iterations per second
PBKDF2-ripemd160  277124 iterations per second
PBKDF2-whirlpool  155727 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   164.7 MiB/s   164.5 MiB/s
 serpent-cbc   128b   119.5 MiB/s   205.0 MiB/s
 twofish-cbc   128b   163.5 MiB/s   208.6 MiB/s
     aes-cbc   256b   148.4 MiB/s   147.9 MiB/s
 serpent-cbc   256b   128.1 MiB/s   205.3 MiB/s
 twofish-cbc   256b   202.3 MiB/s   213.1 MiB/s
     aes-xts   256b   165.4 MiB/s   145.3 MiB/s
 serpent-xts   256b   150.0 MiB/s   194.5 MiB/s
 twofish-xts   256b   206.4 MiB/s   206.9 MiB/s
     aes-xts   512b   149.4 MiB/s   147.5 MiB/s
 serpent-xts   512b   181.7 MiB/s   195.0 MiB/s
 twofish-xts   512b   207.1 MiB/s   208.6 MiB/s

হ্যাশগুলি প্রথম কয়েকটি লাইন (sha1, sha256, sha512, ripemd160, ঘূর্ণি)। সিফারগুলি অ্যালগরিদম শিরোনামের অধীনে।

ডিফল্টগুলি কী কী তা দেখে "" বেশ ভাল "হিসাবে কী বিবেচিত হয় সে সম্পর্কে একটি ভাল ধারণা দেয়:

$ cryptsetup --help|tail -n 8
Default compiled-in key and passphrase parameters:
    Maximum keyfile size: 8192kB, Maximum interactive passphrase length 512 (characters)
Default PBKDF2 iteration time for LUKS: 1000 (ms)

Default compiled-in device cipher parameters:
    loop-AES: aes, Key 256 bits
    plain: aes-cbc-essiv:sha256, Key: 256 bits, Password hashing: ripemd160
    LUKS1: aes-xts-plain64, Key: 256 bits, LUKS header hashing: sha1, RNG: /dev/urandom

এবং --key-sizeযদি কিছুটা ধীর হয় তবে উচ্চতর কী আকার (সহ ) ব্যবহার করা আরও শক্তিশালী হওয়া উচিত।

   --key-size, -s <bits>
          Sets  key  size in bits. The argument has to be a multiple of 8.
          The possible key-sizes are limited by the cipher and mode used.

          See /proc/crypto for more information.  Note  that  key-size  in
          /proc/crypto is stated in bytes.

ব্যবহারকারীর নোটড্যাভিডক্রোনেনবার্গের কাজের প্রসঙ্গে: আমি খুঁজে পেয়েছি কেবলমাত্র উত্তর হ'ল ডকুমেন্টে লুকএস অন ডিস্ক ফর্ম্যাট স্পেসিফিকেশন (পিডিএফ)।

বৈধ সাইফারের নাম

• aes অ্যাডভান্সড এনক্রিপশন স্ট্যান্ডার্ড - ফেড পিব 197
• twofishটোওফিশ: একটি 128-বিট ব্লক সিফার - https://www.schneier.com/paper-twofish-paper.html
• serpent https://www.cl.cam.ac.uk/~rja14/serpent.html
• cast5 আরএফসি 2144
• cast6 আরএফসি 2612

বৈধ সাইফার মোড

• ecb সাইফার আউটপুট সরাসরি ব্যবহার করা হয়।
• cbc-plainসাইফারটি সিবিসি মোডে পরিচালিত হয়। সিবিসি চেইন প্রতিটি সেক্টর কেটে নেওয়া হয় এবং প্রাথমিক ভেক্টর হিসাবে সেক্টরের নম্বর দিয়ে পুনরায় পুনরায় তৈরি করা হয় (32-বিট এবং লিটল-এডিয়ানতে রূপান্তরিত হয়)। এই মোডটি [Fru05b], অধ্যায় 4 এ নির্দিষ্ট করা হয়েছে।
• cbc-essiv:{hash}সিফারটি মূল কীটির জন্য আইভি কী তৈরির জন্য হ্যাশ ব্যবহার করে ইএসএসআইভি মোডে পরিচালিত হয়। উদাহরণস্বরূপ, sha256 হ্যাশ হিসাবে ব্যবহার করার সময়, সাইফার মোডের বৈশিষ্টটি হল "সিবিসিসিভ: শ 256"। ESSIV [Fru05b], অধ্যায় 4 এ নির্দিষ্ট করা হয়েছে।
• xts-plain64 প্লেইন 64 হ'ল প্লেইন প্রাথমিক ভেক্টরের 64-বিট সংস্করণ

বৈধ হ্যাশ স্পেসিফিকেশন

• sha1 আরএফসি 3174 - মার্কিন সুরক্ষিত হ্যাশ অ্যালগরিদম 1 (SHA1)
• sha256 এসএএএএর বৈকল্পিক FIPS 180-2 অনুসারে
• sha512 এসএএএএর বৈকল্পিক FIPS 180-2 অনুসারে
• ripemd160 http://www.esat.kuleuven.ac.be/~bosselae/ripemd160.html