LUKS está construido en dm-crypt. El formato de LUKS es básicamente un encabezado que precede a los datos cifrados (los datos reales se desplazan mediante un "desplazamiento" (ver man cryptsetup
) para permitir que el encabezado se almacene en la parte de arriba de los datos. Los datos aún están cifrados con dm -crypt y es posible (asumiendo el conocimiento de la clave) abrir un volumen LUKS usando solo comandos de modo simple.
Entonces, LUKS solo compensa los datos, no cambia la forma en que se cifran los datos.
Lo que LUKS le brinda es una forma de almacenar hasta ocho copias de la clave de cifrado de forma segura en un encabezado, con cada copia cifrada por otra clave derivada de una frase de contraseña dada por el usuario.
La fuerza adicional de LUKS es que genera la clave maestra y, por lo tanto, puede garantizar que la clave sea más fuerte que la proporcionada por el usuario final. Además, emplea "PBKDF2" para derivar las claves utilizadas para cifrar la clave de datos de la frase de contraseña y la "división de clave anti-forense" para almacenar de manera más segura ese material de clave cifrada.
Además, puede "separar" el encabezado LUKS (es decir, no almacenarlo con los datos), en cuyo caso el "desplazamiento" mencionado anteriormente sería cero.
Para liquidar su FUD, si el encabezado de LUKS está dañado o se pierde, perderá la clave de cifrado de los datos y, en consecuencia, su capacidad para acceder a esos datos. La solución a esto es tomar una copia de seguridad del encabezado.
Si la corrupción está en los datos en sí, entonces, como usted dice, habrá una asignación exacta 1: 1 entre los sectores cifrados y descifrados dañados.