Wie entferne ich die LUKS-Verschlüsselung?

12

Ich habe versucht, die LUKS-Verschlüsselung in meinem Home-Verzeichnis mit dem folgenden Befehl zu entfernen:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Aber es gibt mir einen Fehler zu sagen:

Gerät / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd ist kein gültiges LUKS-Gerät.

Verwirrt versuchte ich Folgendes:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

Und es heißt:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Es scheint, dass das verschlüsselte Gerät aktiv, aber nicht gültig ist. Was könnte hier falsch sein?

linux  encryption  luks 
Fragenüberlauf
quelle

Antworten:

14
  • Backup
  • Neuformatierung
  • Wiederherstellen

cryptsetup luksRemoveKeywürde einen Verschlüsselungsschlüssel nur entfernen, wenn Sie mehr als einen hätten. Die Verschlüsselung wäre noch da.

Der Fedora Installation_Guide Abschnitt C.5.3 erklärt, wie es luksRemoveKeyfunktioniert.

Dass es "unmöglich" ist, die Verschlüsselung zu entfernen, während der Inhalt erhalten bleibt, ist nur eine fundierte Vermutung. Ich stütze das auf zwei Dinge:

  • Da der LUKS-Container ein Dateisystem oder LVM oder was auch immer enthält , erfordert das Entfernen der Verschlüsselungsschicht die Kenntnis der Bedeutung der darüber gespeicherten Daten, die einfach nicht verfügbar sind. Eine Anforderung wäre auch, dass das Überschreiben eines Teils des LUKS-Volumes mit seinem entschlüsselten Gegenstück den Rest des LUKS-Inhalts nicht beschädigt, und ich bin mir nicht sicher, ob dies möglich ist.
  • Die Implementierung würde ein Problem lösen, das so weit wie möglich vom Zweck von LUKS entfernt ist, und ich finde es sehr unwahrscheinlich, dass sich jemand die Zeit dafür nimmt, anstatt etwas "Bedeutenderes".
MattBianco
quelle
Wie hast du das gewusst? Irgendwelche Referenzen?
Frage Überlauf
Verweis auf Fedora-Installationshandbuch hinzugefügt und warum Backup-Restore meiner Meinung nach die einzige Option ist, um von der vollständigen Festplattenverschlüsselung zur Nichtverschlüsselung überzugehen.
MattBianco
7

Wenn Sie eine Passphrase aus einer LUKS-Partition entfernen, müssen Sie zunächst die Festplattenpartition angeben, auf der sie sich befindet, z.

cryptsetup luksRemoveKey /dev/sda2

Und wenn Sie den Status von einem LUKS-verschlüsselten Gerät erhalten möchten, müssen Sie sich wie bisher auf den LUKS-Namen beziehen.

Aber luksRemoveKey entfernt nur eine der Passphrasen (und niemals die letzte). Wenn Sie dauerhaft entschlüsseln möchten, müssen Sie cryptsetup-reencrypt verwenden:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.