Debian
如何在現有的 luks 分區上修改 -iter-time
首先,我已經閱讀了這個主題: 如何更改現有 dm-crypt LUKS 設備的雜湊規範和迭代時間?
建議是以下命令:
cryptsetup-reencrypt --keep-key然而,答案是 7 年前的,被認為是實驗性的。在我這邊,我在安裝過程中從加密磁碟上的實時 USB 安裝了 Debian 。所以當我啟動我的設備時,我必須直接從 grub 解密。解密時間太長,因為
--iter-time即使我的密碼正確,預設也似乎在 30 秒左右,因此有人建議減少--iter-time到300.這就是為什麼我還有其他問題:
- 今天是
cryptsetup-reencrypt --keep-key -iter-time DEVICE正確的程式碼嗎?- 有 Luks 的分區 is
/dev/nvme0n1p2和 luks 分區 is/dev/mapper/luks-xxxx,swap 分區也一樣。選擇哪種設備:cryptsetup-reencrypt --keep-key -iter-time /dev/nvme0n1p2或cryptsetup-reencrypt --keep-key -iter-time /dev/mapper/luks-xxxx?- 我應該從 grub 菜單中的命令還是從實時 USB 中使用它?
- 它是在格式化我的數據嗎?(最好問兩次)
非常感謝。
供參考 :
- 作業系統: Debian
- *Luks的安裝方式:*通過live USB(只需勾選“加密磁碟”)
- *豪華版:*豪華版 1
- *SLOTS:*啟用鍵槽 0 和 1,禁用鍵槽 2 到 7
如果您只想更改,則無需重新加密設備
--iter-time。當您想要更改磁碟上數據的加密方式時使用重新加密(因此不同的密鑰、算法,或者在連結問題的情況下,雜湊函式)。迭代時間是密鑰槽的“屬性”——它告訴PBKDF2從您的密碼中派生密鑰時應該花費多長時間。要更改它,您只需更改鍵槽屬性cryptsetup luksChangeKey /dev/nvme0n1p2 --iter-time <time in ms>它將詢問密碼並使用該密碼更改密鑰槽的屬性,可以選擇用於操作的密鑰槽
--key-slot(如果多個密鑰槽具有相同的密碼)。如果要更改兩個鍵槽的迭代時間,則需要重複此操作。(這也會要求您更改密碼,您可以重複使用舊密碼,
luksConvertKey僅更改參數不適用於 LUKS 1。)您可以檢查結果,
cryptsetup luksDump /dev/nvme0n1p2您應該看到 PBKDF 迭代次數減少了。