Detemine em que luks coloca uma frase-senha em

12

Eu tenho uma partição criptografada por luks que foi protegida por uma frase secreta e um arquivo de chave. O arquivo chave era para acesso de rotina e a senha estava em um envelope lacrado para emergências. Meses de maio se passaram e eu acidentalmente rasguei o arquivo da chave, então me recuperei usando a senha do envelope. Agora eu quero saber, eu tenho dois slots de chaves ativos, mas eu não sei o que contém a frase secreta de arquivo de chave inútil e que tem minha senha de emergência nele. Obviamente, se eu remover o errado, vou perder todos os dados na unidade.

#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK salt:        xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK iterations:  371000
UUID:           28c39f66-dcc3-4488-bd54-11ba239f7e68

Key Slot 0: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
    
por Huckle 23.10.2016 / 21:56

1 resposta

11

Como você descobriu, você pode usar cryptsetup luksDump para ver quais slots de teclas têm chaves.

Você pode verificar a frase secreta de um determinado espaço com

cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct

Isso será bem-sucedido se você digitar a senha correta para o slot 0 e falhar de outra forma (inclusive se a frase secreta estiver correta para algum outro slot chave).

Se você esqueceu uma das senhas, só poderá descobrir qual slot está eliminado e, se tiver esquecido duas senhas, não há como saber qual é qual (senão o hash da frase secreta seria quebrado).

Para remover a frase secreta que você esqueceu, você pode executar com segurança cryptsetup luksKillSlot /dev/sda2 0 e digitar a frase secreta de que se lembra. Para limpar um slot chave, cryptsetup exige a frase secreta para um local chave diferente, pelo menos quando não estiver em execução no modo de lote (ou seja, sem --batch-mode , --key-file=- ou opção equivalente).

    
por 24.10.2016 / 02:19

Tags