暗号交換にLUKSキーを追加することはできません。

暗号交換にLUKSキーを追加することはできません。

何らかの理由で暗号通貨取引所に鍵を追加することはできません。

私のもの/etc/crypttab

swap_crypt /dev/disk/by-partuuid/c4f049d5-ae21-44d6-b753-6e72b7e21770 none luks,swap,discard,keyscript=decrypt_keyctl
root_crypt UUID=26f3c181-e041-47f2-929b-de631a2f1d3f none luks,discard,keyscript=decrypt_keyctl

したがって、これらのディスクを識別するには、次の手順を実行します。

# ls -l /dev/disk/by-partuuid/c4f049d5-ae21-44d6-b753-6e72b7e21770
lrwxrwxrwx 1 root root 15 Mar  5 22:34 /dev/disk/by-partuuid/c4f049d5-ae21-44d6-b753-6e72b7e21770 -> ../../nvme0n1p7
# blkid |grep 26f3c181-e041-47f2-929b-de631a2f1d3f
/dev/nvme0n1p8: UUID="26f3c181-e041-47f2-929b-de631a2f1d3f" TYPE="crypto_LUKS" PARTUUID="b178ae44-cf49-4dce-b7b5-293c9c0bb9c7"

だから私はスワップがオンになってい/dev/nvme0n1p7てルートがオンになっていることを知っています/dev/nvme0n1p8

ここでルートキーを追加しようとすると、次のようになります。

# cryptsetup luksAddKey /dev/nvme0n1p8
Enter any existing passphrase:

しかし、スワップの場合、すべてがうまく機能します。

# cryptsetup luksAddKey /dev/nvme0n1p7

ただ終了します。追加情報:

# cryptsetup luksAddKey -v --debug /dev/nvme0n1p7
# cryptsetup 2.0.2 processing "cryptsetup luksAddKey -v --debug /dev/nvme0n1p7"
# Running command luksAddKey.
# Locking memory.
# Installing SIGINT/SIGTERM handler.
# Unblocking interruption on signal.
# Allocating context for crypt device /dev/nvme0n1p7.
# Trying to open and read device /dev/nvme0n1p7 with direct-io.
# Initialising device-mapper backend library.
# Trying to load any crypt type from device /dev/nvme0n1p7.
# Crypto backend (gcrypt 1.8.1) initialized in cryptsetup library version 2.0.2.
# Detected kernel Linux 5.0.0-050000-generic x86_64.
# Loading LUKS2 header.
# Opening lock resource file /run/cryptsetup/L_259:7
# Acquiring read lock for device /dev/nvme0n1p7.
# Verifying read lock handle for device /dev/nvme0n1p7.
# Device /dev/nvme0n1p7 READ lock taken.
# Trying to read primary LUKS2 header at offset 0.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 8192.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 16384.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 32768.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 65536.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 131072.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 262144.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 524288.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 1048576.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 2097152.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# Trying to read secondary LUKS2 header at offset 4194304.
# Opening locked device /dev/nvme0n1p7
# Veryfing locked device handle (bdev)
# LUKS2 header read failed (-22).
# Device /dev/nvme0n1p7 READ lock released.
# Releasing crypt device /dev/nvme0n1p7 context.
# Releasing device-mapper backend.
# Unlocking memory.
Command failed with code -1 (wrong or missing parameters).

何が問題なのか知っていますか?

答え1

暗号交換が休止状態回復装置として使用されない場合、通常はどこにも永久に保存されないランダムに生成されたキーで初期化されます。これは、システムが適切にシャットダウンすると、スワップ領域の内容を分析しようとするすべてのフォレンジックの試みが役に立たなくなるという非常に強力な保証を提供します。

RAM内のこれらの非永続キーの唯一のコピーは、暗号化デバイスがシャットダウンすると通常のシャットダウンの一部としてアクティブに消去されるため、完全にシャットダウンした後にRAMの内容からキーを回復しようとすることも役に立ちません。 。

crypttabこのオプションが含まれるという事実は、swapこのスキームが使用中である可能性があることを示します。このswapオプションは、初期化後に暗号化を実行し、cryptsetupスワップパーティションの既存の内容を読み取れない場合にのみ必要です。つまり、他の非永続パーティションがある場合にのみ必要です。パスワードキー。mkswap/dev/mapper/swap_crypt

initシステムを使用しているsystemd場合、Linuxディストリビューションの選択に応じて、このkeyscript=オプションは無視され、cryptsetupヘルパーを使用できます。詳細については、およびをsystemd参照してくださいman systemd-cryptsetup-generatorman [email protected]

答え2

それで結局私が直接問題を解決することになりました。この問題が発生した場合は、ランタイムcryptsetup status /dev/mapper/<device>タイプがLUKS1ないことを確認してくださいPLAIN。 Ubuntuインストーラの設定が正しくないため、標準のLUKSコマンドをデバイスで実行できません。交換された後、暗号化を正しく再生成することができたので、すべてが正常です。

関連情報