Come rimuovere la crittografia LUKS?

12

Ho provato a rimuovere la crittografia LUKS sulla mia home directory usando il seguente comando:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Ma mi dà un errore dicendo:

Device / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd non è un dispositivo LUKS valido.

Perplesso, ho provato quanto segue:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

E dice:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Sembra che il dispositivo crittografato sia attivo, ma non valido. Cosa potrebbe essere sbagliato qui?

linux  encryption  luks 
Overflow di domande
fonte

Risposte:

14
  • di riserva
  • riformattare
  • Ristabilire

cryptsetup luksRemoveKeyrimuoverebbe una chiave di crittografia solo se ne avessi più di una. La crittografia sarebbe ancora lì.

La sezione C.5.3 di Fedora Installation_Guide spiega come luksRemoveKeyfunziona.

Che sia "impossibile" rimuovere la crittografia mantenendo i contenuti è solo un'ipotesi colta. Lo baso su due cose:

  • Poiché il contenitore LUKS ha un filesystem o LVM o qualsiasi altra cosa al di sopra di esso, la semplice rimozione del livello di crittografia richiederebbe la conoscenza del significato dei dati memorizzati su di esso, che semplicemente non è disponibile. Inoltre, un requisito sarebbe che la sovrascrittura di una parte del volume LUKS con la sua controparte decifrata, non avrebbe interrotto il resto del contenuto LUKS e non sono sicuro che ciò possa essere fatto.
  • L'implementazione risolverebbe un problema che è quanto più lontano possibile dallo scopo di LUKS, e trovo molto improbabile che qualcuno si prenda il tempo per farlo invece di qualcosa di più "significativo".
Matt Bianco
fonte
Come lo sai? Qualche riferimento?
Domanda Overflow
Aggiunto riferimento alla Guida all'installazione di Fedora e perché credo che il backup-restore sia l'unica opzione per passare dalla crittografia dell'intero disco alla non crittografia.
MattBianco,
7

Innanzitutto, quando si rimuove una passphrase da una partizione LUKS, è necessario specificare la partizione del disco in cui risiede, come:

cryptsetup luksRemoveKey /dev/sda2

E quando si desidera lo stato da un dispositivo crittografato LUKS, è necessario fare riferimento al nome LUKS, come è stato fatto.

Ma luksRemoveKey rimuove solo una delle passphrase (e mai l'ultima). Se vuoi decifrare permanentemente, devi usare cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
fonte
FWIW, per i dispositivi LUKS 2 cryptsetupha un sottocomando reencrypt .
maxschlepzig
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.