LUKSパスワードの変更

LUKSパスワードの変更

LUKSパスワードを変更してみました。

私が使ったソース: https://www.linuxexperten.com/content/how-do-i-change-my-luks-encryption-password-and-more

ブート、ルート、スワップ、およびホーム用に別々のパーティションがあります。 Luksのあるパーティションを確認するには:

blkid -t TYPE=crypto_LUKS -o device
/dev/sda5
/dev/sda6
/dev/sda7

その後、sda5がいくつかのスロットを占めていることを確認してください。

$ sudo cryptsetup luksDump /dev/sda5 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

明らかに、ルートはマスターキーを使用して新しいキーを追加できます。

$ sudo dmsetup ls --target crypt

swapfs  (254, 2)
rootfs  (254, 0)
homefs  (254, 1)

ところで、他のパーティションsda6と7をチェックし、どのくらいのスロットが使用されているかを確認すると言いました。持つ二人はすでに座っていました。 パスワードを変更する前に

$ sudo cryptsetup luksDump /dev/sda6 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED


$ sudo cryptsetup luksDump /dev/sda7 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

3つのパーティションがすべて同じパスワードを持っていることを知っています。 LUKSの他のパスワードはありません。これはどういう意味ですか?「他の人がアクセスできます。」他の2つのパーティションに?

答え1

起動中にパスワードを何回入力する必要がありますか?一度だけスロットの1つを使用して暗号化を「チェーン」できます。

  1. パーティションAのロックを解除するには、パスワード/フレーズを入力してください。
  2. パーティションAには、パーティションBとCに対してランダムに生成された長いパスワード(キー)を含むファイルがあります。
  3. パーティションBとCは、パーティションAのパスワードを使用して自動的にロック解除されます。

/etc/crypttabキーファイルの場所を表示することで、これに関する証拠を見ることができます。

PS:誰かが暗号化されたデータに秘密にアクセスしたいと思っていて、他のキーをインストールするのに十分なアクセス権がある場合は、マスターキーのコピーを取得するだけです。これは証拠を残さず、パスワードの変更に関係なく復号化を可能にします。この問題を解決する唯一の方法は、パーティション全体を再暗号化することです。 (簡単に言えば、LUKSはパスワードを使用してマスターキーを暗号化する方法で動作します。その後、マスターキーを使用してパーティションを暗号化します。これがドライブ全体を再暗号化せずにパスワードを変更できる理由です。)

関連情報