Para LUKS, os únicos dados críticos para a descriptografia são o cabeçalho LUKS. O backup do cabeçalho pode ser feito em um arquivo com cryptsetup luksHeaderBackup
e restaurado com cryptsetup luksHeaderRestore
. Veja man cryptsetup
:
luksHeaderBackup <device> --header-backup-file <file>
Armazena um backup binário do cabeçalho LUKS e da área de slot de teclas.
Nota: O uso de '-' como nome do arquivo grava o backup do cabeçalho em um arquivo chamado '-'.
AVISO: Este arquivo de backup e uma senha válida no momento do backup permite a descriptografia da área de dados do LUKS. mesmo que a frase secreta tenha sido posteriormente alterada ou removida do dispositivo LUKS. Observe também que com um backup de cabeçalho você Perder a capacidade de limpar com segurança o dispositivo LUKS apenas sobrescrevendo o cabeçalho e os slots de teclas. Você precisa Apague com segurança todos os backups de cabeçalho ou substitua também a área de dados criptografados. A segunda opção é menos seguro, como alguns setores podem sobreviver, por exemplo devido ao gerenciamento de defeitos.
luksHeaderRestore <device> --header-backup-file <file>
Restaura um backup binário do cabeçalho do LUKS e da área do intervalo de chaves do arquivo especificado.
Nota: O uso de '-' como nome do arquivo lê o backup do cabeçalho de um arquivo chamado '-'.
AVISO: O cabeçalho e os slots de teclas serão substituídos; somente as senhas do backup funcionarão posteriormente.
Este comando requer que o tamanho da chave mestra e o deslocamento de dados do cabeçalho LUKS já estejam no dispositivo e no correspondência de backup do cabeçalho. Como alternativa, se não houver um cabeçalho LUKS no dispositivo, o backup também será gravado em isso.