パスフレーズが入っているスロットをluksするDetemine

15

パスフレーズとキーファイルで保護されたluks暗号化パーティションがあります。キーファイルは定期的なアクセス用であり、パスフレーズは緊急事態用の封筒に入れられていました。5月が経ち、誤ってキーファイルを細断したため、封筒のパスフレーズを使用して回復しました。今、私は知りたい、私は2つのアクティブなキースロットを持っていますが、どれが役に立たないキーファイルパスフレーズを含み、どれが私の緊急パスフレーズを含んでいるかわかりません。間違ったものを削除すると、明らかにドライブ上のすべてのデータが失われます。

#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK salt:        xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK iterations:  371000
UUID:           28c39f66-dcc3-4488-bd54-11ba239f7e68

Key Slot 0: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
luks 
ハックル
ソース
2
luksKillSlot別のスロットからパスフレーズを要求することが判明したため、最後のキーを破壊するリスクはありません。ただし、元の質問はまだ有効だと思います。
ハックル

回答:

14

発見したように、cryptsetup luksDumpどのキースロットにキーがあるかを確認するために使用できます。

特定のスロットのパスフレーズを確認するには

cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct

これは、キースロット0に正しいパスフレーズを入力すると成功し、それ以外の場合は失敗します(パスフレーズが他のキースロットに正しい場合も含む)。

パスフレーズのいずれかを忘れた場合は、排除によってどのスロットにあるかを見つけることができます。パスフレーズの2つを忘れた場合は、どちらがどちらであるかを知る方法がありません(そうでなければパスフレーズハッシュが壊れます)。

忘れたパスフレーズを削除するには、安全に実行cryptsetup luksKillSlot /dev/sda2 0して覚えているパスフレーズを入力します。キースロットを消去するにcryptsetupは、少なくともバッチモードで実行されていない場合(つまり、no --batch-mode--key-file=-または同等のオプション)、別のキースロットのパスフレーズが必要です。

ジル「SO-悪であるのをやめる」
ソース
6

より簡単な方法(今?)は、--verboseオプションを指定してコマンドを使用することです--key-slot

# cryptsetup --verbose open --test-passphrase /dev/sda2
Enter passphrase for /dev/sda2: 
Key slot 4 unlocked.

適切なスロットを見つけるためにループすることなく、適切なスロットを自動的に確認します:)

ラットノズ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.