私は最近、LinuxがAdiantumをディスク暗号化パスワードとしてサポートしていることに気付きました(cryptsetup benchmark -c xchacha20,aes-adiantum-plain64システムで実行してみてください)。 Adiantumは、主にハードウェアAESアクセラレーションをサポートしない低コストのデバイスに高速ディスク暗号化を提供するためのものですが、これは広いブロック暗号化モードでもあります。つまり、暗号化テキストのシングルビットフリップはプレーンテキストセクタ全体をランダム化しますが、AESでは-XTSモード(AESアクセラレーションが利用可能な場合は現在推奨されているパスワード)パスワードテキストのビット反転はプレーンテキストの16バイトブロックのみですランダム化します。これは潜在的な攻撃者にさらに細かくブロック境界を提供します。したがって、この点でAdiantumはAES-XTSよりも厳しく安全です。
Adiantumは、ハッシュ、バッチ暗号、およびブロック暗号で構築された構造です。私のLinuxカーネル(v5.4)で現在利用可能なバリアントは、ChaCha12またはChaCha20を一括パスワードとして使用します。これは、ハードウェアAESアクセラレーションのないデバイスで使用するのに最適ですが、AES-XTSがAdiantumよりも約2倍速いAESアクセラレーションを持つノートブックでも使用したいと思います。
Linux用のハードウェアAESアクセラレーションに最適化されたディスク暗号化ワイドブロックパスワードは利用可能か開発中ですか?
@これから誰もこの記事を書くときに答えが「いいえ」でしたが、この質問を読んだときに変更された場合は、当時の更新を含む答えを投稿してください。
ベストアンサー1
Adiantumのデザイナーもこの問題を解決し、次のアイデアを出しました。HCTR2。 Adiantumに似ていますが、暗号化にはAES-XCTRを使用し、加速ハッシュ関数としてPOLYVALを使用します。 Linuxカーネルバージョン6で利用可能です。