Como remover a criptografia LUKS?

Question

Como remover a criptografia LUKS?

#1 resposta do (12 votos)
#2 resposta do (1 votos)

8

Eu tentei remover a criptografia do LUKS no meu diretório pessoal usando o seguinte comando:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Mas isso me dá um erro dizendo:

Device /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is not a valid LUKS device.

Confuso, tentei o seguinte:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

E diz:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Parece que o dispositivo criptografado está ativo, mas não é válido. O que poderia estar errado aqui?

encryption luks linux

por Question Overflow 11.01.2013 / 16:22

2 respostas

1

Em primeiro lugar, ao remover uma frase secreta de uma partição LUKS, você precisa especificar a partição do disco onde ela reside, como:

cryptsetup luksRemoveKey /dev/sda2

E quando você quer o status de um dispositivo criptografado pelo LUKS, você precisa se referir ao nome LUKS, como você fez.

Mas luksRemoveKey remove apenas uma das senhas (e nunca a última). Se você quiser descriptografar permanentemente, você tem que usar cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2

por 19.09.2018 / 05:43

Tags encryption luks linux

Posso canalizar dois processos para o outro? Identificando o gerenciador de pacotes do sistema

score 12 · Accepted Answer

Backup
Reformatar
Restaurar

cryptsetup luksRemoveKey apenas removeria uma chave de criptografia se você tivesse mais de um. A criptografia ainda estaria lá.

O Fedora Installation_Guide Seção C.5.3 explica como luksRemoveKey funciona.

É "impossível" remover a criptografia, mantendo o conteúdo apenas como um palpite. Eu baseio isso em duas coisas:

Como o contêiner LUKS possui um sistema de arquivos ou LVM ou qualquer que seja , apenas a remoção da camada de criptografia exigiria o conhecimento do significado dos dados armazenados no topo dele, que simplesmente não está disponível. Além disso, um requisito seria que sobrescrever uma parte do volume LUKS com sua contraparte decodificada, não quebraria o restante do conteúdo do LUKS, e não tenho certeza se isso pode ser feito.
Implementá-lo resolveria um problema tão distante do objetivo da LUKS quanto possível, e acho muito improvável que alguém tenha tempo para fazer isso em vez de algo mais "significativo".