Cambiar clave de cifrado LUKS (no frase de contraseña) sin dataloss

4

Puede cambiar la frase de contraseña LUKS sin dataloss, pero ¿también puede cambiar la clave real?

Reconozco que tendrías que volver a cifrar todo el disco, pero eso sería aceptable para mí.

Background

Estamos considerando la distribución de un USB en vivo con cifrado de disco completo. Pero eso significa que incluso si cambias la contraseña, podré obtener la clave secreta si obtengo una copia del USB en vivo original.

Entonces, la primera vez que lo uses, debería volver a cifrar todo el disco con una nueva clave (y no solo una nueva frase de contraseña para desbloquear la clave).

    
pregunta Ole Tange 23.05.2016 - 11:52
fuente

1 respuesta

5

Con la herramienta cryptsetup-reencrypt , puede cambiar casi todos los aspectos de un dispositivo cifrado con luks, como la clave de volumen, el cifrado o incluso cifrar un dispositivo que no esté cifrado. En algunas distribuciones, tendrá que descargar las fuentes cryptsetup y volver a compilar con la opción --enable-cryptsetup-reencrypt . Si está utilizando una distribución basada en Red Hat, le interesará este comprobante de concepto módulo dracut en las fuentes cyptsetup.

Ejecutar cryptsetup-reencrypt sin parámetros debería ser suficiente para comenzar a generar una nueva clave. Pero tenga en cuenta que cualquier fallo o error de alimentación durante el proceso podría hacer que los datos no sean accesibles para siempre.

    
respondido por el nwildner 23.05.2016 - 12:55
fuente

Lea otras preguntas en las etiquetas