~siretart/cryptsetup/debian

« back to all changes in this revision

Viewing changes to man/cryptsetup.8

  • Committer: Reinhard Tartler
  • Date: 2008-05-25 17:39:22 UTC
  • mfrom: (1.1.2 upstream)
  • Revision ID: siretart@tauware.de-20080525173922-popbnh1gtbt3rxis
merge new upstream

Show diffs side-by-side

added added

removed removed

Lines of Context:
88
88
query for passwords twice. Useful, when creating a (regular) mapping for the first time, or when running \fIluksFormat\fR.
89
89
.TP
90
90
.B "\-\-key-file, \-d"
91
 
use file as key material. With LUKS, key material supplied in key files via \-d are always used for existing passphrases. If you want to set a new key via a key file, you have to use a positional arg to \fIluksFormat\fR or \fIluksAddKey\fR. If the key file is "-", stdin will be used.
 
91
use file as key material. With LUKS, key material supplied in key files via \-d are always used for existing passphrases. If you want to set a new key via a key file, you have to use a positional arg to \fIluksFormat\fR or \fIluksAddKey\fR.
 
92
 
 
93
If the key file is "-", stdin will be used. This is different from how cryptsetup usually reads from stdin. See section \fBNOTES ON PASSWORD PROCESSING\fR for more information.
92
94
.TP
93
95
.B "\-\-key-size, \-s"
94
96
set key size in bits. Has to be a multiple of 8 bits. The key size is limited by the used cipher. See output of /proc/crypto for more information. Can be used for \fIcreate\fR or \fIluksFormat\fR, all other LUKS actions will ignore this flag, as the key-size is specified by the partition header. Default is 128.
106
108
setup a read-only mapping.
107
109
.TP
108
110
.B "\-\-iter-time, \-i"
109
 
The number of microseconds to spend with PBKDF2 password processing. This options is only relevant to LUKS key setting operations as \fIluksFormat\fR or \fIluksAddKey\fR.
 
111
The number of milliseconds to spend with PBKDF2 password processing. This options is only relevant to LUKS key setting operations as \fIluksFormat\fR or \fIluksAddKey\fR.
110
112
.TP
111
113
.B "\-\-batch-mode, \-q"
112
114
Do not ask for confirmation. This option is only relevant for \fIluksFormat\fR.
113
115
.TP
114
116
.B "\-\-timeout, \-t"
115
 
The number of seconds to wait before timeout. This option is relevant evertime a password is asked, like \fIcreate\fR, \fIluksOpen\fR, \fIluksFormat\fR or \fIluksAddKey\fR.
 
117
The number of seconds to wait before timeout. This option is relevant evertime a password is asked, like \fIcreate\fR, \fIluksOpen\fR, \fIluksFormat\fR or \fIluksAddKey\fR. It has no effect if used in conjunction with \-\-key-file.
116
118
.TP
117
119
.B "\-\-tries, \-T"
118
120
How often the input of the passphrase shall be retried. This option is relevant evertime a password is asked, like \fIcreate\fR, \fIluksOpen\fR, \fIluksFormat\fR or \fIluksAddKey\fR. The default is 3 tries.
125
127
.B "\-\-version"
126
128
Show the version.
127
129
 
128
 
.SH NOTES ON PASSWORD PROCESSING FOR REGULAR MAPPINGS
129
 
\fIFrom a file descriptor or a terminal\fR: Password processing is new-line sensitive, meaning the reading will stop after encountering \\n. It will processed the read material with the default hash or the hash given by \-\-hash. After hashing it will be cropped to the key size given by \-s (default 256 bits).
 
130
.SH NOTES ON PASSWORD PROCESSING
 
131
\fIFrom a file descriptor or a terminal\fR: Password processing is new-line sensitive, meaning the reading will stop after encountering \\n. It will processed the read material (without newline) with the default hash or the hash given by \-\-hash. After hashing it will be cropped to the key size given by \-s (default 256 bits).
130
132
 
131
 
\fIFrom stdin\fR: Reading will continue until EOF (so using e.g. /dev/random as stdin will not work). After that the read data will be hashed with the default hash or the hash given by \-\-hash and the result will be cropped to the keysize given by \-s (default 256 bits). If "plain" is used as an argument to the hash option, the input data will not be hashed. Instead it will be zero padded (if shorter than the keysize) or truncated (if longer than the keysize) and used directly as the key. No warning will be given if the amount of data read from stdin is less than the keysize.
 
133
\fIFrom stdin\fR: Reading will continue until EOF (so using e.g. /dev/random as stdin will not work), with the trailing newline stripped. After that the read data will be hashed with the default hash or the hash given by \-\-hash and the result will be cropped to the keysize given by \-s (default 256 bits). If "plain" is used as an argument to the hash option, the input data will not be hashed. Instead it will be zero padded (if shorter than the keysize) or truncated (if longer than the keysize) and used directly as the key. No warning will be given if the amount of data read from stdin is less than the keysize.
132
134
 
133
135
\fIFrom a key file\fR: It will be cropped to the size given by \-s. If there is insufficient key material in the key file, cryptsetup will quit with an error.
 
136
 
 
137
If \-\-key-file=- is used for reading the key from stdin, no trailing newline ist stripped from the input. Without that option, cryptsetup strips trailing newlines from stdin input.
134
138
.SH NOTES ON PASSWORD PROCESSING FOR LUKS
135
 
Password processing is totally different for LUKS. LUKS uses PBKDF2 to protect against dictionary attacks (see RFC 2898). 
 
139
LUKS uses PBKDF2 to protect against dictionary attacks (see RFC 2898). 
136
140
LUKS will always use SHA1 in HMAC mode, and no other mode is supported at the moment. 
137
141
Hence, \-h is ignored.
138
142
 
149
153
.br
150
154
LUKS extensions, and man page by Clemens Fruhwirth <clemens@endorphin.org>
151
155
.SH "COMPATABILITY WITH OLD SUSE TWOFISH PARTITIONS"
152
 
To read images created with SuSE Linux 9.2's loop_fish2 use --cipher
153
 
twofish-cbc-null -s 256 -h sha512, for images created with even
154
 
older SuSE Linux use --cipher twofish-cbc-null -s 192 -h
 
156
To read images created with SuSE Linux 9.2's loop_fish2 use \-\-cipher
 
157
twofish-cbc-null \-s 256 \-h sha512, for images created with even
 
158
older SuSE Linux use \-\-cipher twofish-cbc-null \-s 192 \-h
155
159
ripemd160:20
156
160
.SH "REPORTING BUGS"
157
161
Report bugs to <dm-crypt@saout.de>.