LUKS(Linux Unified Key Setup)是未来的Linux硬盘加密标准。它不但提供了凌驾于不同发行版之上的标准磁盘格式,还支持多用户密码的安全管理。相对于现有解决方案,LUKS储存了必要的体系信息于分区开头,使用户得以无缝的转移数据。
传统的dm-crypt和cryptoloop使用密码的hash加密整个磁盘。这些方法无法更改已经设置的密码,即使有人可以做到,重设密码需要重新加密整个磁盘。实际加密数据的密钥在理论上可能比较脆弱。如果你在纸上记下密码,那么磁盘上的数据安全还是无法保障。
如果你加密大块的数据,还可以立刻改变保护它的口令,那么用来加密实际数据的密钥当然不是密码本身,因为那样需要巨大的努力来改变大量的已加密数据。
LUKS的设计中,密钥可能要更耐密码学攻击。数据集较大的情况下,虚弱的密钥的漏洞大于强健的密钥。(仅由实际密钥组成的)较小的数据集,比大数据集更耐数据分析攻击。故基于口令的hash的较弱的密钥可以减少暴露。如果一个恶意用户已经有机会得到你的口令,你可以改变口令,旧的密钥槽被清除,如此已经泄漏的信息就没用了。
没有评论:
发表评论