誰かがFDE / LUKSマスターキーを盗んだ場合は、LUKSデバイスを再作成する必要がありますか、それともLUKSパスワードのみを変更できますか?
答え1
マスターキーはディスクの暗号化に使用されます。他のすべてのキーとパスワードはマスターキーにのみアクセスできます。
その理由は、LUKSパスワードを変更したい場合(または複数のパスワードを使用したい場合)、少量のデータを暗号化または再暗号化するだけです。欠点は、マスターキーが破損した場合、データセット全体が破損することです。
マスターキーはもはや安全ではないので、LUKSパスワードが何であるかはもはや重要ではありません。代わりに、この時点では、LUKSボリューム全体を交換して再構築して、新しいマスターキーがあることを確認する必要があります。また、セキュリティ手順を確認して、以前のマスターキーが元々どのように破損しているかを確認する必要があります。
幸いなことに、cryptsetup-reencrypt
ツールこれを行うことができます。所定の位置にただし、このプロセス中にボリュームをオフラインに切り替えることができます。いつものように、事前にバックアップしておくことをお勧めします。プロットの概要マニュアルページ:
cryptsetup-reencrypt
ディスクデータ全体の変更(再暗号化)が必要な再暗号化パラメータを変更するために使用できます。ボリュームキー(パスワードロック解除によるディスク暗号化に使用される物理キー)、パスワード、パスワードモードを再生成できます。