在普通模式下使用 dm-crypt 重用密钥的安全性？

好吧，这不是安全堆栈交换，我也不是密码学专家，但从表面上看：

爱丽丝未加密：

00000000  48 65 6c 6c 6f 20 6d 79  20 6e 61 6d 65 20 69 73  |Hello my name is|
00000010  20 41 6c 69 63 65 0a 00  00 00 00 00 00 00 00 00  | Alice..........|
00000020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

鲍比未加密：

00000000  48 65 6c 6c 6f 20 6d 79  20 6e 61 6d 65 20 69 73  |Hello my name is|
00000010  20 42 6f 62 62 79 0a 00  00 00 00 00 00 00 00 00  | Bobby..........|
00000020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

两者都使用相同的（主）密钥 aes-xts-plain64 加密：

Alice000  8f 04 35 fc 9f cb 5d c8  af da ae 78 cd e5 64 3d  |..5...]....x..d=|
Bobby000  8f 04 35 fc 9f cb 5d c8  af da ae 78 cd e5 64 3d  |..5...]....x..d=|
Alice010  4f d3 99 77 7b c1 2c 8d  ff 9b 4d 55 da a3 9b e2  |O..w{.,...MU....|
Bobby010  12 d6 ad 17 74 50 4d 08  8c 38 22 40 98 a7 14 99  |....tPM..8"@....|
Alice020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
Bobby020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|

所以——从外观上看，一个问题是相同的偏移量和明文（对于每个 16 字节块）导致相同的密文。如果明文不同，密文也不同。在某些情况下，这可能比显示可用空间更具启发性。

另一个问题是您可以将密文从一个驱动器复制到另一个驱动器，然后将其解密为有意义的数据——但在错误的驱动器上。通常，如果您弄乱密文，解密时得到的只是随机垃圾，但重新使用万能钥匙只会为您提供更有效的密文。

因此，完全人为的示例，如果您的用户不知道密钥，但以某种方式可以访问存储在该系统上的文件，并且能够将密文从一个驱动器复制到另一个驱动器-通常不可能，但让我们假设就是这样。他们可以写一个充满废话的大文件，找出这个文件在磁盘上的分配位置，然后从其他驱动器复制数据。然后在读回文件时以明文形式查看另一个驱动器数据。

总而言之，当为每个磁盘使用唯一密钥非常容易时，这只是一个不必要的头痛。即使您使用散列函数或其他方法从共享主密钥中派生该密钥。虽然也没有理由。--keyfile-offset您可以只使用多个密钥文件，或者使用,--keyfile-size选项从单个文件中读取多个密钥。

LUKS 应该可以帮助您避免各种陷阱。除非您故意克隆标头，否则它始终为每个容器使用不同的随机主密钥，即使您为它们使用相同的密码。

还有一点关于您选择的密码的说明，aes-xts-plain64. 这曾经被称为aes-xts-plain. 一切都很好，直到出现大于 2TiB 的设备......aes-xts-plain密文每 2TiB 重复一次，这与重复使用相同的主密钥基本上是相同的问题。

这已通过 修复aes-xts-plain64，但一些博客/wiki 仍然推荐旧的，或者旧的容器与新的硬盘驱动器一起保留和增长，所以有些人最终还是使用了错误的...