# Cryptsetup / LUKS: Verwirrung um Schlüssel und Hashes

## sprittwicht

Moin. Ich beschäftige mich gerade ein bisschen mit Cryptsetup+LUKS und bin total verwirrt.

Man kann ja entweder mit Passwörtern arbeiten oder mit Key Files. Nun mal angenommen ich wollte aes-lrw-benbi benutzen (XTS scheint Overkill zu sein, da die LRW-Lücke nur bei Swap- und Hibernate-Partitionen auftreten kann?), dann würde ich jetzt so vorgehen:

cryptsetup -c aes-lrw-benbi -s 384 luksFormat PARTITION KEY_FILE

Welche Schlüssellänge ist jetzt mit -s gemeint? Ich hatte es so verstanden, dass LRW selbst 128 Bit benutzt, und den Rest dem Chiffrieralgorithmus (AES) zu Verfügung stellt. Also würde sich aus "-s 384" automatisch ableiten, dass AES-256 verwendet wird. Andererseits hab ich im Wiki die Form "-c aes-lrw-benbi:sha256 -s 384" gesehen. Ist das nicht doppelt gemoppelt oder was besagt das ":sha256"?

Auf was bezieht sich "--key-size / -s" überhaupt? In der Manpage wird das alles total bunt durcheinandergeworfen, oder ich bin einfach zu blöd. Ich dachte es bezieht sich auf den Chiffrierschlüssel, also z.B. die 256+128 Bit bei aes-lrw-benbi. Andererseits steht aber in der Manpage, dass der Passworthash bzw. das übergebene Key File eben exakt auf diese Länge zusammengestaucht wird. Wozu? Ich dachte aus einem von max. 8 Passwörtern / Key Files wird der Chiffrierschlüssel abgeleitet, und DER muss dann diese besagte Bitlänge aufweisen und wird direkt an den Chiffrieralgorithmus weitergegeben.

Im Wiki wird ein zufälliges Key File mit einer Bitlänge von 1024 Bit erzeugt. Auch dahinter erschließt sich mir der Sinn nicht, wenn von dieser Datei eh nur die ersten "--key-size" Bits benutzt werden.

Kann mich jemand erhellen? Nur ein ganz kleines bisschen?  :Smile: 

----------

