Jika saya tetap menggunakan operasi standar, dan saya tidak memerlukan fitur apa pun dari LUKS, risiko apa yang saya ambil sebagai non-ahli?
Partisi LUKS memiliki header yang memastikan partisi seperti itu tidak akan terlihat sebagai ext2, vfat, dll. Partisi dm-crypt biasa mungkin secara kebetulan terlihat seperti sistem file yang tidak terenkripsi, dan memiliki peluang untuk ditulis secara tidak sengaja, menghancurkan sistem file Anda. data.
LUKS memeriksa apakah Anda memasukkan frasa sandi yang benar. Jika Anda memasukkan frasa sandi yang salah, dm-crypt biasa tidak akan memahaminya; sebagai gantinya, itu akan dengan senang hati memberi Anda pemetaan crypto yang kacau yang mungkin juga secara kebetulan terlihat seperti sistem file yang tidak dienkripsi, dan memiliki kemungkinan untuk ditulis secara tidak sengaja, menghancurkan data Anda.
LUKS menyimpan jenis enkripsi yang digunakan, sedangkan dm-crypt mengharuskan Anda menyediakan opsi yang sama setiap saat. Jika, setelah beberapa saat tidak menggunakan perangkat terenkripsi Anda, Anda menemukan ada beberapa celah dalam ingatan Anda tentang kata sandinya, dan ternyata Anda juga lupa opsi enkripsi, Anda disemprot dua kali lipat (ini terjadi pada saya secara pribadi sebelum LUKS ada; data terenkripsi tidak begitu penting, jadi saya hanya memformat ulang setelah gagal mencoba masuk selama sekitar satu jam).
Juga, mungkin ada periode selama pengembangan cryptsetup di mana essiv bukan default untuk dm-crypt, tetapi untuk LUKS, dan dokumentasi yang Anda baca mungkin dimaksudkan untuk menyinggung hal itu.
Terakhir, beberapa opsi LUKS melakukan hal-hal yang penting dari sudut pandang keamanan. Misalnya, Anda tertidur saat mengautentikasi dengan gmail dan secara tidak sengaja mengetikkan kata sandi drive Anda. Di dm-crypt tidak ada cara untuk mengubah kata sandi tanpa mengenkripsi ulang seluruh perangkat Anda (dan melakukannya di tempat berisiko, karena sistem crash atau kehilangan daya akan meninggalkan Anda dengan sistem yang dijamin disemprot). Dengan LUKS, Anda dapat mengubah kata sandi.
Saya merasa ini harus disebutkan, di sini.
Sejauh ini pertanyaan yang paling banyak dicari tentang masalah cryptsetup dan LUKS adalah dari orang-orang yang telah berhasil merusak awal partisi LUKS mereka, header LUKS. Jika header LUKS hilang atau rusak (yang terjadi lebih sering daripada yang Anda inginkan), tidak mungkin memulihkan data meskipun Anda memiliki kuncinya! Pastikan Anda memahami masalah dan batasan yang diberlakukan oleh model keamanan LUKS SEBELUM Anda dihadapkan pada situasi yang menyedihkan.
Itu mungkin tidak menjawab pertanyaan, mengapa dm-crypt biasa hanya untuk para ahli? Tetapi dari sudut pandang beberapa orang, Anda adalah 'ahli' setelah Anda melalui skenario di atas dengan LUKS dan menyadari bahwa, dalam banyak kasus penggunaan, dm-crypt biasa jauh lebih unggul. Itu andal mengenkripsi (dan melakukan hashing kata sandi) dan jika Anda tahu apa yang Anda lakukan, Anda dapat mengubah parameter cipher menjadi apa yang cocok untuk Anda.
Pengurus ahli harus memahami bahwa kurangnya header LUKS mencegah banyak alat mengetahui bahwa drive dienkripsi. Bagi sebagian orang, itu adalah fitur yang berharga. Mengapa repot-repot mengenkripsi sesuatu jika semua orang tahu itu dienkripsi, dan dengan nama dan mode sandi apa (yang mudah diperoleh dari header LUKS yang valid/cadangan tanpa kunci). Dalam banyak kasus, LUKS jauh lebih tidak aman DAN kurang dapat diandalkan.
Atsby menyentuh pandangan lain yang lebih tua dari dm-crypt biasa, di mana aes cbc (tanpa essiv) dianggap tidak aman. Itu ahli ahli kriptografi. Ini menjelaskan hal itu dengan cukup baik, imho; XTS vs AES-CBC dengan ESSIV untuk enkripsi sistem file berbasis file