フルディスク暗号化で万座炉を使用していますが、復号化を開始するまでの待ち時間が非常に長いです(難易度設定が高いためと思われます)。インストール中に暗号化設定の暗号化難易度/待機時間をどのように変更しますか?
ベストアンサー1
パスワードハッシュが多すぎますか?
多くのパスワードハッシュの繰り返しを待っているために速度が遅くなる場合は、より速いパスワードを使用して新しいパスワードを追加できますが、これによりセキュリティが低下し、パスワードの--iter-time
推測が速くなる可能性があります。 1秒(1000ミリ秒)を待つには、次のコマンドを使用します。
cryptsetup -v luksAddKey --iter-time 1000 <device>
その後、キースロットが新しいクイックパスワードの後ろにない限り、古い低速パスワード()を削除する必要がありますluksKillSlot
(明らかに順番にテストされるため、最初の遅いスロットがテストaにあるまで待つ必要があるかもしれません)。速いパスワード。または、初期オープンコマンドを変更して、新しいより高速な--key-slot
番号を指定してください。
このluksChangeKey
コマンドは、新しいキーを追加してから古いキーを削除する2つの手順を組み合わせることができます(v1.7のマニュアルページでは利用可能であると明示的には示されていませんが、--iter-time
明らかに使用できます)。
cryptsetup -v luksChangeKey --iter-time 1000 <device>
今はどれくらい遅いですか?
端末の復号化または開くのにかかる時間をテストします。
cryptsetup -v luksOpen --test-passphrase <device>
または、次のオプションを使用して特定のキーホームをテストします--key-slot
。
cryptsetup -v luksOpen --test-passphrase --key-slot N <device>
このtime
コマンドを使用すると役に立ちますが、入力速度も計算されます。
このluksDump
コマンドを使用して、現在重要なスロットが何であるかをIterations:
確認できます。以下は、非常に遅いスロット0と非常に高速なスロット1の例です。
Key Slot 0: ENABLED
Iterations: 4663017
Salt: ......
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 1000
Salt: ......
Key material offset: 264
AF stripes: 4000
からman cryptsetup
:
--iter-time
、-i
PBKDF2パスワード処理に費やされた時間(ミリ秒)。このオプションは、luksFormat や luksAddKey などのパスワードを設定または変更する LUKS 操作にのみ関連します。引数に 0 を指定すると、コンパイル時のデフォルト値が選択されます。
luksChangeKey <device> [<new key file>]
既存のパスワードを変更してください。変更するパスワードはインタラクティブまたは--key-fileを介して提供する必要があります。新しいパスワードは、対話形式で提供されるか、または位置引数として提供されるファイルとして提供できます。
キースロットが指定されている場合(--key-slotを介して)、そのキースロットのパスワードを指定する必要があり、新しいパスワードは指定されたキースロットを上書きします。キースロットが指定されておらず、まだ空きキースロットがある場合は、古いパスワードを含むキースロットが削除される前に、新しいパスワードが無料のキースロットに配置されます。利用可能なキースロットがない場合は、古いパスワードのキースロットを直接上書きします。
警告する: キースロットを上書きすると、この操作中にメディアエラーが発生したため、古いパスワードが消去された後に上書きが失敗し、LUKSコンテナにアクセスできなくなる可能性があります。
これはパスワードハッシュではありませんか?
- 起動速度が遅くなる理由は暗号化とは関係ないかもしれませんが、いくつかの理由があります。
あるいは、実際の暗号化/暗号解読自体が遅すぎる場合は、アルゴリズムまたは鍵のサイズを変更する必要があり、そのためにはすべてを復号化して再暗号化する必要があります。これを適切に実行できるプログラム(または最新バージョンのコマンド)があり、何も失われないことを願っていますが、バックアップを持つことは単に良い考えです。
ただし、この場合、初期待ち時間が長いだけでなく、すべての読み書き速度も遅くなります。
cryptsetup -v benchmark
このコマンドを使用すると、いくつかの速度テストが表示されますが、「注:このベンチマークはメモリのみを使用し、情報提供のみを目的としています。これにより、実際のストレージ暗号化速度を直接予測することはできません。」