Se mi attengo alle operazioni standard e non richiedo nessuna delle funzionalità di LUKS, quali rischi corro come non esperto?
Le partizioni LUKS hanno un'intestazione che garantisce che tale partizione non venga vista come ext2, vfat, ecc. Una semplice partizione dm-crypt può casualmente sembrare un filesystem non crittografato e ha la possibilità di essere scritta accidentalmente, distruggendo dati.
LUKS controlla se hai inserito la passphrase corretta. Se inserisci la passphrase sbagliata, il semplice dm-crypt non lo rileverà; invece, ti darà felicemente una mappatura crittografica confusa che potrebbe anche sembrare un filesystem non crittografato e ha la possibilità di essere scritta accidentalmente, distruggendo i tuoi dati.
LUKS memorizza il tipo di crittografia utilizzato, mentre dm-crypt richiede di fornire ogni volta le stesse opzioni. Se, dopo un periodo di non utilizzo del tuo dispositivo crittografato, scopri che ci sono alcune lacune nel tuo ricordo di quale fosse la password e si scopre che hai dimenticato anche le opzioni di crittografia, sei doppiamente sbalordito (questo è successo a me personalmente prima che LUKS esistesse; i dati crittografati non erano così importanti, quindi ho appena riformattato dopo aver tentato senza successo di entrare per circa un'ora).
Inoltre, potrebbe esserci stato un periodo durante lo sviluppo di cryptsetup in cui essiv non era l'impostazione predefinita per dm-crypt, ma lo era per LUKS, e la documentazione che stai leggendo potrebbe essere stata pensata per alludere a questo.
Infine, alcune delle opzioni di LUKS fanno cose importanti dal punto di vista della sicurezza. Ad esempio, supponi di addormentarti durante l'autenticazione con Gmail e di digitare accidentalmente la password dell'unità. In dm-crypt non è possibile modificare la password senza crittografare nuovamente l'intero dispositivo (e farlo sul posto è rischioso, poiché un arresto anomalo del sistema o un evento di interruzione dell'alimentazione ti lascerà con un sistema garantito). Con LUKS, puoi cambiare la password.
Sento che questo dovrebbe essere menzionato, qui.
Di gran lunga la maggior parte delle domande sui problemi di cryptsetup e LUKS provengono da persone che sono riuscite a danneggiare l'inizio delle loro partizioni LUKS, l'intestazione LUKS. Se l'intestazione LUKS viene persa o danneggiata (cosa che accade più spesso di quanto desideri), è impossibile recuperare i dati anche se hai la chiave! Assicurati di comprendere il problema e le limitazioni imposte dal modello di sicurezza LUKS PRIMA di trovarti di fronte a una situazione così miserabile.
Questo potrebbe non rispondere esattamente alla domanda, perché il semplice dm-crypt è solo per esperti? Ma dal punto di vista di alcune persone, sei un "esperto" una volta che hai attraversato lo scenario di cui sopra con LUKS e ti sei reso conto che, in molti casi d'uso, il semplice dm-crypt è di gran lunga superiore. Crittografa in modo affidabile (ed esegue l'hashing delle password) e se sai cosa stai facendo puoi modificare i parametri di cifratura in base alle tue esigenze.
I sysop esperti dovrebbero capire che la mancanza di un'intestazione LUKS impedisce a molti strumenti di sapere che l'unità è crittografata. Per alcuni, questa è una caratteristica preziosa. Perché preoccuparsi di crittografare qualcosa se tutti sanno che è crittografato e con quale nome e modalità di crittografia (che è facile da ottenere da un'intestazione LUKS valida/di backup senza chiave). In molti casi, LUKS è molto meno sicuro E meno affidabile.
Atsby ha toccato un'altra visione più antica della semplice dm-crypt, in quanto aes cbc (senza essiv) è considerata non sicura. Questa è roba da crittografi esperti. Questo lo spiega abbastanza bene, imho; XTS vs AES-CBC con ESSIV per la crittografia del file system basata su file