パスワードハッシュが多すぎますか？

Question

パスワードハッシュが多すぎますか？

多くのパスワードハッシュの繰り返しを待っているために速度が遅くなる場合は、より速いパスワードを使用して新しいパスワードを追加できますが、これによりセキュリティが低下し、パスワードの--iter-time推測が速くなる可能性があります。 1秒（1000ミリ秒）を待つには、次のコマンドを使用します。

cryptsetup -v luksAddKey --iter-time 1000 <device>

その後、キースロットが新しいクイックパスワードの後ろにない限り、古い低速パスワード（）を削除する必要がありますluksKillSlot（明らかに順番にテストされるため、最初の遅いスロットがテストaにあるまで待つ必要があるかもしれません）。速いパスワード。または、初期オープンコマンドを変更して、新しいより高速な--key-slot番号を指定してください。

このluksChangeKeyコマンドは、新しいキーを追加してから古いキーを削除する2つの手順を組み合わせることができます（v1.7のマニュアルページでは利用可能であると明示的には示されていませんが、--iter-time明らかに使用できます）。

cryptsetup -v luksChangeKey --iter-time 1000 <device>

今はどれくらい遅いですか？

端末の復号化または開くのにかかる時間をテストします。

cryptsetup -v luksOpen --test-passphrase <device>

または、次のオプションを使用して特定のキーホームをテストします--key-slot。

cryptsetup -v luksOpen --test-passphrase --key-slot N <device>

このtimeコマンドを使用すると役に立ちますが、入力速度も計算されます。

このluksDumpコマンドを使用して、現在重要なスロットが何であるかをIterations:確認できます。以下は、非常に遅いスロット0と非常に高速なスロット1の例です。

Key Slot 0: ENABLED
    Iterations:             4663017
    Salt:                   ......
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: ENABLED
    Iterations:             1000
    Salt:                   ......
    Key material offset:    264
    AF stripes:             4000

からman cryptsetup：

--iter-time、-i

PBKDF2パスワード処理に費やされた時間（ミリ秒）。このオプションは、luksFormat や luksAddKey などのパスワードを設定または変更する LUKS 操作にのみ関連します。引数に 0 を指定すると、コンパイル時のデフォルト値が選択されます。

luksChangeKey <device> [<new key file>]

既存のパスワードを変更してください。変更するパスワードはインタラクティブまたは--key-fileを介して提供する必要があります。新しいパスワードは、対話形式で提供されるか、または位置引数として提供されるファイルとして提供できます。

キースロットが指定されている場合（--key-slotを介して）、そのキースロットのパスワードを指定する必要があり、新しいパスワードは指定されたキースロットを上書きします。キースロットが指定されておらず、まだ空きキースロットがある場合は、古いパスワードを含むキースロットが削除される前に、新しいパスワードが無料のキースロットに配置されます。利用可能なキースロットがない場合は、古いパスワードのキースロットを直接上書きします。

警告する: キースロットを上書きすると、この操作中にメディアエラーが発生したため、古いパスワードが消去された後に上書きが失敗し、LUKSコンテナにアクセスできなくなる可能性があります。

これはパスワードハッシュではありませんか？

起動速度が遅くなる理由は暗号化とは関係ないかもしれませんが、いくつかの理由があります。

あるいは、実際の暗号化/暗号解読自体が遅すぎる場合は、アルゴリズムまたは鍵のサイズを変更する必要があり、そのためにはすべてを復号化して再暗号化する必要があります。これを適切に実行できるプログラム（または最新バージョンのコマンド）があり、何も失われないことを願っていますが、バックアップを持つことは単に良い考えです。

ただし、この場合、初期待ち時間が長いだけでなく、すべての読み書き速度も遅くなります。

cryptsetup -v benchmarkこのコマンドを使用すると、いくつかの速度テストが表示されますが、「注：このベンチマークはメモリのみを使用し、情報提供のみを目的としています。これにより、実際のストレージ暗号化速度を直接予測することはできません。」

Answer 1

パスワードハッシュが多すぎますか？

多くのパスワードハッシュの繰り返しを待っているために速度が遅くなる場合は、より速いパスワードを使用して新しいパスワードを追加できますが、これによりセキュリティが低下し、パスワードの--iter-time推測が速くなる可能性があります。 1秒（1000ミリ秒）を待つには、次のコマンドを使用します。

cryptsetup -v luksAddKey --iter-time 1000 <device>

その後、キースロットが新しいクイックパスワードの後ろにない限り、古い低速パスワード（）を削除する必要がありますluksKillSlot（明らかに順番にテストされるため、最初の遅いスロットがテストaにあるまで待つ必要があるかもしれません）。速いパスワード。または、初期オープンコマンドを変更して、新しいより高速な--key-slot番号を指定してください。

このluksChangeKeyコマンドは、新しいキーを追加してから古いキーを削除する2つの手順を組み合わせることができます（v1.7のマニュアルページでは利用可能であると明示的には示されていませんが、--iter-time明らかに使用できます）。

cryptsetup -v luksChangeKey --iter-time 1000 <device>

今はどれくらい遅いですか？

端末の復号化または開くのにかかる時間をテストします。

cryptsetup -v luksOpen --test-passphrase <device>

または、次のオプションを使用して特定のキーホームをテストします--key-slot。

cryptsetup -v luksOpen --test-passphrase --key-slot N <device>

このtimeコマンドを使用すると役に立ちますが、入力速度も計算されます。

このluksDumpコマンドを使用して、現在重要なスロットが何であるかをIterations:確認できます。以下は、非常に遅いスロット0と非常に高速なスロット1の例です。

Key Slot 0: ENABLED
    Iterations:             4663017
    Salt:                   ......
    Key material offset:    8
    AF stripes:             4000
Key Slot 1: ENABLED
    Iterations:             1000
    Salt:                   ......
    Key material offset:    264
    AF stripes:             4000

からman cryptsetup：

--iter-time、-i

PBKDF2パスワード処理に費やされた時間（ミリ秒）。このオプションは、luksFormat や luksAddKey などのパスワードを設定または変更する LUKS 操作にのみ関連します。引数に 0 を指定すると、コンパイル時のデフォルト値が選択されます。

luksChangeKey <device> [<new key file>]

既存のパスワードを変更してください。変更するパスワードはインタラクティブまたは--key-fileを介して提供する必要があります。新しいパスワードは、対話形式で提供されるか、または位置引数として提供されるファイルとして提供できます。

キースロットが指定されている場合（--key-slotを介して）、そのキースロットのパスワードを指定する必要があり、新しいパスワードは指定されたキースロットを上書きします。キースロットが指定されておらず、まだ空きキースロットがある場合は、古いパスワードを含むキースロットが削除される前に、新しいパスワードが無料のキースロットに配置されます。利用可能なキースロットがない場合は、古いパスワードのキースロットを直接上書きします。

警告する: キースロットを上書きすると、この操作中にメディアエラーが発生したため、古いパスワードが消去された後に上書きが失敗し、LUKSコンテナにアクセスできなくなる可能性があります。

これはパスワードハッシュではありませんか？

起動速度が遅くなる理由は暗号化とは関係ないかもしれませんが、いくつかの理由があります。

あるいは、実際の暗号化/暗号解読自体が遅すぎる場合は、アルゴリズムまたは鍵のサイズを変更する必要があり、そのためにはすべてを復号化して再暗号化する必要があります。これを適切に実行できるプログラム（または最新バージョンのコマンド）があり、何も失われないことを願っていますが、バックアップを持つことは単に良い考えです。

ただし、この場合、初期待ち時間が長いだけでなく、すべての読み書き速度も遅くなります。

cryptsetup -v benchmarkこのコマンドを使用すると、いくつかの速度テストが表示されますが、「注：このベンチマークはメモリのみを使用し、情報提供のみを目的としています。これにより、実際のストレージ暗号化速度を直接予測することはできません。」

パスワードハッシュが多すぎますか？

ベストアンサー1

パスワードハッシュが多すぎますか？

今はどれくらい遅いですか？

これはパスワードハッシュではありませんか？

おすすめ記事