luks1 tem limite de 8. Mas eu acidentalmente adiciono 9 slots a luks2 (de 0 a 8). Gostaria de saber qual é o limite para luks2?
Keyslots:
0: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: 32 ff 35 1e a2 b5 64 a7 fe f9 6e 7d 12 75 75 d5
a4 e7 47 39 80 96 1d 76 b1 35 b3 77 0a 85 46 ac
AF stripes: 4000
AF hash: sha256
Area offset:32768 [bytes]
Area length:258048 [bytes]
Digest ID: 0
1: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: 55 7b 9a 4c d8 53 2b bb 90 af 57 44 67 b5 0c 03
85 a1 5d 70 e4 1e b0 5f 97 1a f3 0e f2 8c dc b2
AF stripes: 4000
AF hash: sha256
Area offset:290816 [bytes]
Area length:258048 [bytes]
Digest ID: 0
2: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: ac 24 09 ca f9 24 52 3d 49 d3 c9 89 63 d0 1d 61
83 4a aa ed 75 a2 39 ec 3f f8 ab 95 5d 0c 49 aa
AF stripes: 4000
AF hash: sha256
Area offset:1064960 [bytes]
Area length:258048 [bytes]
Digest ID: 0
3: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: 3d 37 41 20 93 44 55 62 c6 19 fe e0 7d ae 14 0d
67 86 6a 44 5e c8 8a f0 97 01 1d c7 c6 83 02 22
AF stripes: 4000
AF hash: sha256
Area offset:1323008 [bytes]
Area length:258048 [bytes]
Digest ID: 0
4: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: bf 6d a0 15 c9 8e 9b 49 12 84 86 6b 13 93 95 7d
cf cf 8f 3a e2 b7 42 42 4c 59 a1 5c 23 cd e6 1a
AF stripes: 4000
AF hash: sha256
Area offset:1581056 [bytes]
Area length:258048 [bytes]
Digest ID: 0
5: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: bd 76 ae e1 33 d3 7a 83 5b 59 d4 bc 46 17 36 ec
e6 94 a5 b1 85 2d 00 9f a4 ff f4 02 cc b6 ca bc
AF stripes: 4000
AF hash: sha256
Area offset:1839104 [bytes]
Area length:258048 [bytes]
Digest ID: 0
6: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: ab 7f dd e5 2c eb 32 51 97 9a 10 5e 70 75 1e 15
91 35 10 63 f5 8b b6 8c 7a 97 16 40 50 e6 89 fb
AF stripes: 4000
AF hash: sha256
Area offset:2097152 [bytes]
Area length:258048 [bytes]
Digest ID: 0
7: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: aa 02 fd a2 fd 4a ee 84 1a 41 93 58 7a 25 c2 d4
0d 65 bc b4 5b 18 1a 05 4b 0a 81 f7 68 8c 9a 26
AF stripes: 4000
AF hash: sha256
Area offset:548864 [bytes]
Area length:258048 [bytes]
Digest ID: 0
8: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 5
Memory: 1048576
Threads: 4
Salt: 2b 04 62 29 e2 dc 42 b4 3a 28 8d 46 28 17 05 26
a1 05 86 62 95 8e 50 98 91 67 18 15 71 1c 8a f9
AF stripes: 4000
AF hash: sha256
Area offset:806912 [bytes]
Area length:258048 [bytes]
Digest ID: 0
Para LUKS1, são 8 slots de chave, fixos.
Para LUKS2, atualmente são no máximo 32 slots de chave :
Tentar adicionar mais simplesmente resulta na mensagem de erro "All key slots full.".
No entanto, a resposta pode não ser tão simples, afinal. O limite de 32 existe no código, mas não é mencionado no LUKS2 On-Disk Format Specification .
O cabeçalho LUKS2 é realmente capaz de armazenar mais do que apenas 32 slots de chave. Ou pode nem ser capaz de armazenar 8 deles. Depende do deslocamento de dados, do tamanho da área dos slots de chave, bem como do tamanho exigido por cada chave individual.
Para um cabeçalho recém-formatado, o padrão é um grande deslocamento de dados para que você possa obter facilmente 32 slots de chave. Se você converteu de LUKS1 (com apenas 2MiB de deslocamento de dados), ele permanece inalterado em 8 slots de chave. Se o deslocamento de dados for menor, pode ser inferior a 8 slots de chave.
Com um deslocamento de dados de 1MiB, você obtém apenas 3 slots de chave (
cryptsetupemite um aviso sobre isso):Neste exemplo em particular, apenas 3 slots de chave poderiam ser usados antes que o cabeçalho ficasse sem espaço para armazenar mais:
Aqui, a área total de slots de chave disponíveis é de apenas 1015808 bytes. Cada chave tem um tamanho de 257048 bytes. Para armazenar uma chave adicional, seriam necessários no mínimo 1032192 bytes, portanto, simplesmente não cabe mais chaves neste caso específico.
Se você não se importa com o alinhamento do MiB, é possível tornar o deslocamento ainda menor, deixando você com apenas um único slot de chave.
O Luks2 não possui slots de teclas fixos como o Luks1. Quantos você pode armazenar depende de:
* luks2-metadata-size (máximo de 4 MB pode ser reservado de acordo com a especificação) onde as definições de slot de chave são armazenadas junto com todos os outros metadados (no formato JSON, portanto, não há reserva de área definida para chaves e também nenhum requisito de tamanho absoluto por chave).
* luks2-keyslots-size (máx. 128 MB pode ser reservado de acordo com a especificação) onde o conteúdo criptográfico real dos slots de chave é salvo. Aqui também é uma estrutura solta, então depende dos dados reais dos slots quantas chaves você pode obter com um tamanho específico.
Eu não calculei, mas acho que pode haver muitos slots na maioria dos casos.