Devrais-je utiliser LUKS1 ou LUKS2 pour le chiffrement de partition?
Lors de la configuration du chiffrement LUKS sur ma partition Ubuntu, je suis tombé sur l’option --type luks2 dans les pages de manuel cryptsetup. D'après ce que j'ai lu, il ne semble pas y avoir de raison de ne pas utiliser LUKS2, mais cryptsetup utilise toujours LUKS1 par défaut.
Une raison pour laquelle je ne devrais pas utiliser LUKS2?
Merci.
Selon le projet officiel pour la documentation :
LUKS2 est la deuxième version du programme d'installation de la clé unifiée Linux pour la gestion du cryptage de disque. C’est le suivi du format LUKS1 [1, 2] qui étend les capacités du format sur disque et supprime certains problèmes et limitations connus. La plupart des concepts de base de LUKS1 restent en place tels que conçus dans Nouvelles méthodes de chiffrement de disque dur 2 par Clemens Fruhwirth. LUKS fournit un magasin de clés générique sur la zone dédiée d'un disque, avec la possibilité d'utiliser plusieurs phrases secrètes 1 pour déverrouiller une clé stockée. LUKS2 étend ce concept pour des méthodes plus flexibles de stockage des métadonnées, des informations redondantes pour permettre la récupération en cas de corruption dans une zone de métadonnées et une interface pour stocker des métadonnées gérées de manière externe afin de les intégrer à d'autres outils. Bien que l'implémentation de LUKS2 soit destinée à être utilisée avec le cryptage de disque dm-crypt basé sur Linux, il s'agit d'un format générique.
Fondamentalement, bien qu’il soit déjà disponible, il s’agit d’un format assez évolutif selon les normes utilisateur/définition. En outre citant les notes de publication officielles de cryptsetup pour la version 2.0. , il y a à peine six mois (l'accent mis par moi):
Notes de publication de Cryptsetup 2.0.0
Version stable avec fonctionnalités expérimentales.
Cette version introduit un nouveau format LUKS2 sur disque.
Les LUKS hérités (référencés comme LUKS1) seront entièrement pris en charge pour toujours, ainsi qu’un format traditionnel compatible avec les versions antérieures.
NOTE: Cette version change le soname de la bibliothèque libcryptsetup et augmente la version majeure pour tous les symboles publics. La plupart des anciennes fonctions étant entièrement compatibles avec les versions antérieures, seule une recompilation des programmes devrait être nécessaire.
Veuillez noter que le cryptage de disque authentifié, la protection de l'intégrité des données non cryptographiques (dm-intégrité), l'utilisation de la fonction de dérivation de clé Argon2 basée sur un mot de passe et le format sur disque de LUKS2 sont de nouvelles fonctionnalités et peuvent contenir des bugs.
Pour fournir toutes les fonctionnalités de sécurité du chiffrement authentifié, nous avons besoin d'un meilleur algorithme résistant au noyau (voir note ci-dessous). Pour l'instant, veuillez utiliser le cryptage authentifié comme fonctionnalité expérimentale.
N'utilisez pas LUKS2 sans une sauvegarde correctement configurée ou dans des systèmes de production devant être compatibles avec des systèmes plus anciens.
Donc, à moins que vous n'ayez besoin de l'une des nouvelles fonctionnalités, votre meilleure option et la plus sécurisée serait d'utiliser le paramètre par défaut/stable LUKS1 . D'un autre côté, si un peu de test ou des problèmes d'installation vous dérangent, vous pouvez utiliser l'option LUKS2 et signaler tous les problèmes. vous trouvez au traqueur de problème de cryptsetup .
- GRUB ne supporte pas encore LUKS2. Si votre répertoire/boot se trouve sur un périphérique chiffré par LUKS et que vous utilisez GRUB comme chargeur de démarrage, cela ne fonctionnera pas.
- [mineur] L'ancien cryptsetup (1.x.y) ne peut pas traiter LUKS2, de sorte que les Live CD/clés USB avec une version de cryptsetup antérieure à 2 ne peuvent pas être utilisés pour déchiffrer les partitions LUKS2.