Я зашифровал свой корневой раздел с помощью dm-crypt/LUKS/cryptsetup в Ubuntu 12.04.
Так как он использует PBKDF2:
Я хотел бы сделать это немного тяжелее, грубой силы :)
Можно ли при создании зашифрованного диска указать произвольное количество итераций PBKDF2 для получения ключа?
Да. Вы можете использовать ключ -i cryptsetup чтобы указать количество итераций. Вы также можете использовать --iter-time чтобы указать время в секундах, чтобы сравнить количество итераций для достижения определенного времени выполнения в вашей системе.
Можно ли после того, как зашифрованный диск уже создан, изменить количество итераций PBKDF2 для получения ключа?
Да, хотя это немного больно. Версии cryptsetup 1.5.0 и более поздних версий поставляются с инструментом cryptsetup-reencrypt для автономного повторного шифрования, который позволяет изменять настройки. Из того, что я прочитал, он выполняет полное повторное шифрование всего диска, что займет много времени. Технически это должно только перешифровать новый заголовок тома, но есть причины безопасности для повторного шифрования всего.
