Dan*_*and 6 encryption luks manjaro
我正在使用带有全盘加密的 manjaro,但是,启动时解密的等待时间很长(我认为是因为设置难度很高)。如何在安装期间更改加密设置的加密难度/等待时间?
如果它只是因为您正在等待大量密码哈希迭代而变慢,您可以添加一个更快的新密码--iter-time,但这可能会降低安全性并允许更快地猜测密码。如果您想等待 1 秒(1000 毫秒),请使用如下命令:
cryptsetup -v luksAddKey --iter-time 1000 <device>
然后,您可能必须删除旧的慢速密码短语(带有luksKillSlot),除非它的关键插槽在新的快速密码之后(它们显然是按顺序测试的,因此可能必须等待第一个慢插槽被测试,然后再快速一)。或者更改您的初始打开命令以指定新的更快的--key-slot数字。
该luksChangeKey命令可以将这两个步骤结合起来,添加一个新密钥然后删除旧密钥(尽管 v1.7 手册页没有明确说明它可以使用--iter-time,显然它可以):
cryptsetup -v luksChangeKey --iter-time 1000 <device>
测试解密/打开您的设备需要多长时间:
cryptsetup -v luksOpen --test-passphrase <device>
或者使用以下--key-slot选项测试特定的键槽:
cryptsetup -v luksOpen --test-passphrase --key-slot N <device>
使用该time命令可能会有所帮助,但也可以计算您的打字速度。
您可以使用该luksDump命令查看当前的关键插槽Iterations:是什么,这是一个非常慢的插槽 0 和非常快的插槽 1 的示例:
Key Slot 0: ENABLED
Iterations: 4663017
Salt: ......
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 1000
Salt: ......
Key material offset: 264
AF stripes: 4000
来自man cryptsetup:
--iter-time,-i处理 PBKDF2 密码短语所花费的毫秒数。此选项仅与设置或更改密码短语的 LUKS 操作相关,例如 luksFormat 或 luksAddKey。指定 0 作为参数将选择编译入的默认值。
luksChangeKey <device> [<new key file>]更改现有密码。要更改的密码必须以交互方式或通过 --key-file 提供。新密码可以以交互方式提供,也可以在作为位置参数给出的文件中提供。
如果指定了密钥槽(通过 --key-slot),则必须给出该密钥槽的密码,新密码将覆盖指定的密钥槽。如果未指定密钥槽并且仍有空闲密钥槽,则在清除包含旧密码的密钥槽之前,新密码将被放入空闲密钥槽中。如果没有空闲的key-slot,则直接覆盖旧密码的key-slot。
警告: 如果密钥槽被覆盖,则此操作期间的媒体故障可能导致在旧密码被擦除后覆盖失败并使 LUKS 容器无法访问。
或者,如果实际的加密/解密本身太慢,则可能需要更改算法或密钥大小,这将需要解密和重新加密所有内容。有一些程序(或较新版本中的命令)可以就地完成,希望不会丢失任何东西,但是备份不仅仅是一个好主意。
但在这种情况下,它不仅是一个漫长的初始等待,而且所有的读取和写入都会慢一点。
您可以使用该cryptsetup -v benchmark命令查看一些速度测试,但“注意:此基准测试仅使用内存且仅提供信息。您无法从中直接预测实际存储加密速度。”
| 归档时间: |
|
| 查看次数: |
4333 次 |
| 最近记录: |