staging.inyokaproject.org

LUKS: pbkdf2 oder argon2i/argon2id? (bei älterer Hardware)

Status: Ungelöst | Ubuntu-Version: Kubuntu 19.10 (Eoan Ermine)
Antworten |

guy.brush

Anmeldungsdatum:
13. Februar 2011

Beiträge: 216

Hallo,

als Folgefrage zu meinem Thema LUKS: --iter-time hat keine Auswirkung auf Anzahl der Iterationen:

Es heißt, 2 sek --iter-time reichen bei aktueller Hardware aus. Da mein Laptop, den ich mit LUKS verschlüsseln möchte, aber schon recht alt ist und dies auch explizit empfohlen wird, wollte ich die --iter-time eben etwas anpassen/erhöhen.

Also habe ich meinen auch nicht mehr ganz aktuellen Desktop-PC als Referenz genommen. Vergleiche ich die Benchmarks von cryptsetup vom Desktop-PC und Laptop, so muss ich die --iter-time auf mind. 4 sek für --pbkdf=pbkdf2 und auf mind. 10 sek für --pbkdf=argon2i stellen, um am Laptop in etwa dieselben Werte zu bekommen wie am Referenz-PC nach 2 sek. Bei argon2i "kostet" es also deutlich mehr, dasselbe Niveau wie am Referenz-PC zu erhalten.

Spricht dies bei meinem Laptop (oder evtl. alter Hardware im Allgemeinen) dafür, pbkdf2 zu verwenden statt argon2i, da ich hier mit kürzerer Zeit dasselbe Sicherheitsniveau erreiche wie bei einem aktuelleren PC? Oder wäre trotzdem argon2i (oder gar argon2id) auch mit kürzerer Zeit (4-5 sek) trotzdem besser?

Liebe Grüße

guy.brush

PS: Bei argon2i dauerte das Erstellen mit sudo cryptsetup [...] --iter-time=10000 --pbkdf=argon2i luksFormat [...] in Realität knapp 20 sek statt nur 10 sek!

Antworten |