Cambia la chiave di crittografia LUKS (non passphrase) senza perdita di dati

4

Puoi modificare la passphrase LUKS senza dataloss, ma puoi anche cambiare la chiave effettiva?

Penso che dovresti ricodificare l'intero disco, ma sarebbe accettabile per me.

Sfondo

Stiamo valutando la possibilità di distribuire un USB live con crittografia completa del disco. Ma questo significa che anche se cambi la passphrase, sarò ancora in grado di ottenere la chiave segreta se avrò una copia dell'USB live originale.

Quindi, la prima volta che lo usi, dovrebbe ricodificare l'intero disco con una nuova chiave (e non solo una nuova passphrase per sbloccare la chiave).

    
posta Ole Tange 23.05.2016 - 11:52
fonte

1 risposta

5

Con lo strumento cryptsetup-reencrypt , puoi modificare quasi tutti gli aspetti di un dispositivo crittografato con luks come, la chiave del volume, la crittografia o persino crittografare un dispositivo che non è crittografato. In alcune distribuzioni, dovrai scaricare cryptsetup fonti e ricompilare con l'opzione --enable-cryptsetup-reencrypt . Se stai utilizzando una distribuzione basata su Red Hat, ti interesserà questa dimostrazione di concetto modulo dracut su origini cyptsetup.

L'esecuzione di cryptsetup-reencrypt senza parametri dovrebbe essere sufficiente per avviare una nuova chiave generata. Tuttavia, tieni presente che eventuali interruzioni di corrente o errori durante il processo potrebbero rendere i dati inaccessibili per sempre.

    
risposta data 23.05.2016 - 12:55
fonte

Leggi altre domande sui tag