mod3 hat geschrieben:Interessanterweise läuft aes-xts auf meinem Xeon laut benchmark deutlich schneller als aes-cbc, das wäre ein netter Nebeneffekt.
Rein theoretisch könnte XTS oder CTR deutlich schneller sein als CBC. Ich habe das nicht feststellen können.
Dir sollte vor allem klar sein:
-c aes-cbc-essiv:sha256 -s 256 nutzt AES-256
-c aes-xts-plain64 -s 256 nutzt AES-128
=> Vergleichen kannst du -c aes-xts-plain64 -s 256 mit -c aes-cbc-essiv:sha256 -s 128 (AES-128)
oder -c aes-xts-plain64 -s 512 mit -c aes-cbc-essiv:sha256 -s 256 (AES-256)
Die Quelle, die selbst kein vernünftiges TLS kann ist leider schlicht falsch.
--key-file nutzt intern die gleiche Funktion wie Passphrase und damit gilt:
After that the read data will be hashed with the default hash or the hash given by --hash and the result will be cropped to the keysize given by -s
mod3 hat geschrieben:Was nimmt man am besten als keyfile?
Am besten nimmst du das: head -c16 /dev/random für -s 128 und head -c 32 /dev/random für -s 256 Da das auch der Algorithmus ist, den cryptsetup intern verwendet, wäre sowieso alles verloren, wenn der Kaput wäre:
MSfree hat geschrieben:Ob ein Algorithmus nicht knackbar ist, stellt sich praktisch immer zu spät heraus (siehe WLAN WEP). Von daher könnte sich jeder Algorithmus in Zukunft als knackbar herausstellen. Deine verschlüsselte, geklaute Platte ist also potentiell in Zukunft entschlüsselbar.
Prinzipiell hast du natürlich recht.
Aber prinzipiell galt RC4 schon damals (obwohl es da noch nicht geknackt wurde) als etwas, das man eher nicht benutzt, weil eher wudu als wissenschaftliche Kryptografie. Nur halt wunderbar schnell. (Deswegen ja auch der Streit WPA (weiter RC4 und damit auch auf alter Hardware flott) vs. RSN/WPA2 (AES-256)) Und beim keysceduling hätte jeder der nur ansatzweise ne Anfängervorlesung Verschlüsslung gehört hat die Hände überm Kopf zusammen geschlagen.
Von den viel zu kurzen Keylängen wollen wir gar nicht erst anfangen. Auch wenn damals standard PCs noch eine weile gebraucht haben, will man da eigentlich immer etwas großzügig sein. Ein mal *2 falls jemand was schnelleres wie Brute force findet. +32Bit damit es auch noch nach moors LAW in 50 Jahren tut. Und nochmal +10Bit, weil ja auch welche mit potenterer Hardware als einem PC kommen könnte.
Womit wir da wären:
mod3 hat geschrieben:Für mich ist immer wichtig, den momentan besten/stärksten Algorithmus zu verwenden.
AES ist absolut state of the art, und dank Hardwareunterstützung fast überall wahnsinnig schnell.
Trotzdem gelten camellia oder serpent als etwas sicherer. Daneben gibt es noch twofish für die Aluhüte, die niemand außer Bruce Schneier glauben, dass er keine Backdoors eingebaut hat.
Aber bevor man irgend was knackt kann man da natürlich nichts genaueres sagen.
Zum Modus:
LUKS besitzt keinen MAC, weswegen Manipulationen nie sicher festgestellt werden können. XTS versucht manipulationen zu erschweren. Defakto ist das aber halt verlorene Liebesmühe: Wenn jemand die möglichkeit hat, auf deine Platte zu schreiben bist du gefickt, und solltest sie nicht mehr verwenden. (Uder zumindest damit rechnen, dass die Manipuliert wurden (Sprich auf jeden Fall keine Programme mehr von ausführen, oder gar betriebssysteme Starten.)) => Schaden tut es nichts, nutzen ist wohl aber auch eher gering.
CBC funktioniert so für Festplattenverschlüsselung nicht. Deswegen macht dm-crypt da einige modifikationen, die dann Wartemark angriffe zulassen. (Sprich das
wiedererkennen von bekannten Daten auch nach der verschlüsselung.) Das versucht man mit ESS dann wieder auszubügeln. Wie gut das funktioniert gibt es streit.
Vermutlich schon aber es ist halt ein komplexes konstrukt.
CTR erlaubt, wie jeder streamcipher bei langem Beobachten festzustellen, welche Änderungen passieren. Kann also ein Angreifer überlange zeit beobachte, welcher Block wann wie aussah, kann er feststellen, wo sich wann was geändert hat. Möglicherweise bei SSDs relevant, wo der gleiche Sektor vielleicht in mehreren Versionen existiert. (Siehe dazu auch die Problematik beim Löschen von Daten.) Auf HDDs eher irelevant, weil ein Angreifer ja eher selten zwei mal die gleiche Platte zu Gesicht bekommt.
Kurz: Ultraparanoia: -c camellia-xts-plain64 -s 512, -c aes-ctr -s 128 bietet deutlich mehr Performance und ist vermutlich ähnlich gut.