誰かがLUKSディスクのヘッドを盗んで自分のLUKSパスワードを復号化してからパスワードを変更した場合でも、その人が盗んだヘッドを使用して自分のデータを復号化できますか?それでは、データを失うことなくこれが発生しないようにするにはどうすればよいですか?cryptsetup-reencrypt
これは解決策になりそうですが、わかりません。
答え1
まず、ディスクから大量のデータを移動する作業(たとえば、LUKSコンテナの再暗号化)には、データ損失のリスクが固有です。データの損失を防ぐ唯一の方法は、安定したバックアップを確保することです。
警告:cryptsetup-reencryptプログラムは、再暗号化中にハードウェアまたはカーネルエラーに免疫されません(この場合、データが失われる可能性があります)。このツールを使用する前に、常に安定したバックアップがあることを確認してください。 - 源泉:
man cryptsetup-reencrypt
つまり、盗まれた LUKS ヘッダーを使用して LUKS コンテナをロック解除できます。その理由は、データの暗号化にパスワードが使用されないためです。代わりにまったく異なる暗号化キーを使用してください。そして、このキーは本質的にLUKSコンテナをオーバーライドしない限り変更されませんcryptsetup-reencrypt
。パスワードは、単に実際の暗号化キーにアクセスする方法を提供します。