A chave mestra é o que criptografa o disco. Todas as outras chaves e senhas fornecem acesso apenas à chave mestra.
O raciocínio por trás disso é que, se você quiser alterar a senha do LUKS (ou tiver várias delas), apenas uma pequena quantidade de dados precisará ser criptografada ou criptografada novamente. A desvantagem é que, quando sua chave mestra é comprometida, todo o seu conjunto de dados fica comprometido.
Como sua chave mestra não é mais segura, não importa mais quais são suas senhas LUKS. Em vez disso, neste ponto, você deve substituir e reconstruir todo o volume do LUKS, garantindo que ele tenha uma chave mestra nova. Você também deve examinar seus procedimentos de segurança para determinar como sua chave mestra anterior foi comprometida em primeiro lugar.
Felizmente, a cryptsetup-reencrypt tool permitirá que você faça isso no lugar desde que você possa colocar o volume off-line pela duração do processo. Como sempre, é altamente recomendável fazer um backup antecipadamente. Sinopse da página do manual :
cryptsetup-reencryptcan be used to change reencryption parameters which otherwise require full on-disk data change (re-encryption). You can regenerate volume key (the real key used in on-disk encryption unclocked by passphrase), cipher, cipher mode.