Hei, jeg har bestemt meg for å sette meg litt mer inn i linux, og få en bedre forståelse av systemet. I dette tilfelle, så skal jeg installere Gentoo, med Linux LUKS kryptering.

Jeg har alltid brukt disk krypteringen som følger med Ubuntu distroen, og har egentlig bare trengt å taste inn passordet jeg ønsker. Men før jeg gir meg ut på installasjonen, så har jeg en noen spørsmål om cryptsetup og luksFormat.

1. Slik jeg har forstått det, så er det LUKS som er sikrest å bruke, ikkje bare med tanke på hvor vanskelig det er å knekke den, men også hvis noe går galt og man må gjennopprette tapt data, korrekt?

2. Hvis jeg bruker må jeg da bruke ett passord på 32 tegn?

3. Hva er den største key-size man kan bruke? Og hva er fordelene og ulempene med å bruke en høy verdi, eller fordelene sier seg jo selv. Men vil det forsinke systemet med å bruke en høy verdi?

4. Jeg ser at jeg har mulighet til å velge cipher også utfra man page til cryptsetup, der står som default for LUKS mappings, finnes det andre man kan bruke sammen med LUKS?

En del av disse spørsmålene kunne jeg jo såklart søkt opp på google, men føler at man får en bedre forklaring her inne som er mer troverdig enn mange random forumer man finner på google. Som igjen gir ett bedre forståelse og grunnlag for videre lærdom.

EDIT: Hvis det spiller noen rolle, så er det full disk kryptering jeg skal installere på root og swap partisjonen.

Hei,

Det er en del år siden jeg gjorde det du beskriver sist, så dette er med forbehold om hullete hukommelse.

1. Det du kan med LUKS er å ha flere passord. Selve diskinnholdet ligger da kryptert med én tilfeldig nøkkel, og XOR av nøkkelen og hash av passordene ligger lagret på disken. Det beskytter deg altså bare mot å glemme noen av passordene, for å sikre dataene bedre må du til med RAID og den slags.

2. Nei, passordet kan være hva som helst, men dersom det skal være like sikkert som krypteringen må det være mye lengre. På mine disker har jeg 70-80-tegn lange passord.

3. Den største key-sizen man kan bruke kommer an på krypteringsalgoritmen, samme med forhold mellom hastighet og key-size, men generelt sett så ja, det blir forsinket når den er større. Om dette betyr noe kommer an på CPU-en(e) og disk-IO.

4. Dette kommer an på kernelen din, se /proc/crypto og «Cryptographic API» i kernel-konfigurasjonen.

Jeg brukte denne når jeg satt det opp første gang: http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS

Forresten kan du sette det opp så swap og /tmp-partisjonene bruker et tilfeldig passord hver gang, noe som er sikrere.

Uansett så er ikkje PCen din sikrere enn det svakeste punktet, som i dette tilfellet er USB-nøkkelen, hvis du har 70 tegn langt passord på USB-nøkkelen som brukes til å dekryptere harddisken, og 6 tegn langt passord til å dekryptere USB-nøkkelen. Så er ikkje PCen din mer sikker enn de 6 tegnene, om folk klarer å duplisere USB-nøkkelen og knekker passordet til den, så har dem full tilgang til PCen din uansett om harddisken har 70 tegn langt passord.

Da er det like så greit å ha 6 tegn langt passord på harddisken, i steden for å gå rundt med risikoen for å miste USB-nøkkelen, å miste tilgangen til din egen PC.

EDIT: Har tidligere brukt 12 tegn langt passord på harddisken, føler det holder. Men har egentlig liten erfaring innen dette.