Determina in quali slot di sicurezza è presente una passphrase

15

Ho una partizione crittografata luks che è stata protetta da una passphrase e un file chiave. Il file chiave era per l'accesso di routine e la passphrase era in una busta sigillata per le emergenze. Sono passati mesi e ho accidentalmente distrutto il file chiave, quindi ho recuperato usando la passphrase dalla busta. Ora voglio sapere, ho due slot per chiavi attive ma non so quale contenga la frase di passaggio del file chiave inutile e quale abbia la mia passphrase di emergenza. Ovviamente se rimuovo quello sbagliato perdo tutti i dati sul disco.

#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK salt:        xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK iterations:  371000
UUID:           28c39f66-dcc3-4488-bd54-11ba239f7e68

Key Slot 0: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

luks

— Huckle
fonte

2

Si scopre che luksKillSlotrichiede una passphrase da un altro slot, quindi non c'è rischio di distruggere l'ultima chiave che hai. Tuttavia, credo che la domanda originale sia ancora valida.

— Huckle,

14

Come hai scoperto, puoi usare cryptsetup luksDumpper vedere quali slot hanno i tasti.

È possibile controllare la passphrase per un determinato slot con

cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct

Ciò ha esito positivo se si inserisce la passphrase corretta per lo slot chiave 0 e non funziona diversamente (anche se la passphrase è corretta per qualche altro slot chiave).

Se hai dimenticato una delle passphrase, puoi solo trovare lo slot in cui si trova per eliminazione, e se hai dimenticato due delle passphrase, allora non c'è modo di dire quale sia (altrimenti l'hash della passphrase sarebbe rotto).

Per rimuovere la passphrase che hai dimenticato, puoi tranquillamente eseguire cryptsetup luksKillSlot /dev/sda2 0e inserire la passphrase che ricordi. Per pulire una fessura chiave, cryptsetuprichiede la password per un diverso fessura chiave, almeno quando non è in esecuzione in modalità batch (cioè non --batch-mode, --key-file=-o un'opzione equivalente).

— Gilles 'SO- smetti di essere malvagio'
fonte

6

Un modo più semplice (ora?) È usare il comando con l' --verboseopzione ma senza specificare --key-slotquello:

# cryptsetup --verbose open --test-passphrase /dev/sda2
Enter passphrase for /dev/sda2: 
Key slot 4 unlocked.

Controllerà automaticamente per te lo slot giusto, senza che tu abbia il loop per trovare quello buono :)

— ratnoz
fonte