異なるキーを使用してLVMスナップショットに記録されたデータの暗号化

異なるキーを使用してLVMスナップショットに記録されたデータの暗号化

次の要件があります。

  • A鍵暗号化にLUKSを使用するLVMボリュームがありますK1
  • 記録中にコピースナップAショットを作成する必要があります。
    • 書き込みはA暗号化され続けます。K1
    • に手紙を書くスナップ写真K2と同様に、以下で暗号化されますK1

ユースケースは、暗号化キーを削除してスナップショットを安全に削除できるようにすることです。

可能ですか?

答え1

いいえ。 LVMスナップショットを作成するときにLUKS暗号化キーを変更することはできません。

LUKSはLVMについて知らないので、これはパーティションを複製して暗号化キーを変更できると予想するものと変わりません。

今あなたは可能LVMとLUKSを裏返すことで目標を達成できます。これは以下のような複雑な設定です。

  1. もちろん、それぞれ異なるキーを使用して、パーティションに複数のLUKSコンテナを作成します。
  2. ロック解除されたLUKSコンテナを物理ボリュームとして使用してLVMボリュームグループを作成します。
  3. 論理ボリュームの作成時に使用する物理ボリュームを指定すると、論理ボリュームに使用されるLUKSキーが決まります。
  4. スナップショットを作成するときに別の物理ボリュームを指定してください。つまり、このボリュームへの書き込みは別のLUKSキーを使用して暗号化されます。

関連情報