是否可以使用带有标记密钥的 cbc(aes)-essiv 加密?
我在做什么?
我在 iMX6UL 上与 CAAM 合作。在测试期间,我在我的主机上准备了三个图像。它们使用相同的对称密钥但使用不同的密码进行加密:
- 欧洲央行(aes)
- cbc(aes)-普通
- cbc(aes)-essiv:sha256。
后来,我从我的对称密钥创建了黑密钥并将图像安装在设备上。ecb(aes) & cbc(aes)-纯图像效果很好。 但是 cbc(aes)-essiv:sha256 触发了 5-10 秒的冻结,之后挂载操作失败。
直接使用我的对称密钥(没有 caam-keygen 和 keyctl)安装图像效果很好。因此,我确定图像已正确准备。
但我不确定是否可以将 cbc(aes)-essiv 与标记密钥一起使用?是否支持此方法?
例子:
1. 这是我在准备映像期间在主机上执行 dmsetup 的方式。
dmsetup -v create encrypted-tmp --table \"0 16384 crypt capi:cbc(aes)-essiv:sha256 782DBC901C72F00E8E7A318EC98CF49BB564D5D3723CC0600FDE547DF0E43E4A 0 /dev/loop0 0 1 sector_size:512\"
2. 这就是我在设备上配置 dmsetup 以使用标记密钥的方式:
dmsetup -v create encrypted --table \"0 16384 crypt capi:tk(cbc(aes))-essiv:sha256 :52:logon:mountkey: 0 /dev/loop5 0 1 sector_size:512\"
这里我在cbc之前加了
tk前缀。并从 keyctl 指定键名。此方法会导致挂载错误。
[ 2833.734136] udevd[2649]: conflic
ting device node \'/dev/mapper/encrypted\' found, link to \'/dev/dm-5\' will not be created
[ 2840.665864] EXT2-fs (dm-5): error: ext2_check_descriptors: Block bitmap for group 0 not in group (block 3863103938)!
[ 2840.665889] EXT2-fs (dm-5): group descriptors corrupted
3. 这就是我配置 dmsetup 以直接使用对称密钥的方式:
dmsetup -v create encrypted --table \"0 16384 crypt capi:cbc(aes)-essiv:sha256 782DBC901C72F00E8E7A318EC98CF49BB564D5D3723CC0600FDE547DF0E43E4A 0 /dev/loop5 0 1 sector_size:512
在那种情况下,一切正常。