암호 구가있는 루크 슬롯 식별


15

암호와 키 파일로 보호되는 luks 암호화 파티션이 있습니다. 키 파일은 일상적인 액세스를위한 것이며 암호 구는 비상 사태를 위해 봉인 된 봉투에있었습니다. 5 개월이 지났고 실수로 키 파일을 파쇄 했으므로 봉투에서 암호를 사용하여 복구했습니다. 이제 두 개의 활성 키 슬롯이 있지만 쓸모없는 키 파일 암호 문구가 포함되어 있고 비상 암호 문구가 어느 것인지 알 수 없습니다. 분명히 잘못된 것을 제거하면 드라이브의 모든 데이터가 손실됩니다.

#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK salt:        xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK iterations:  371000
UUID:           28c39f66-dcc3-4488-bd54-11ba239f7e68

Key Slot 0: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

2
luksKillSlot다른 슬롯에서 암호 를 요구하므로 마지막 키를 파괴 할 위험이 없습니다. 그러나 원래 질문은 여전히 ​​유효하다고 생각합니다.
Huckle

답변:


14

아시다시피 cryptsetup luksDump어떤 키 슬롯에 키가 있는지 확인할 수 있습니다 .

당신은 특정 슬롯에 대한 암호를 확인할 수 있습니다

cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct

키 슬롯 0에 올바른 암호를 입력하면 성공하고 그렇지 않으면 실패합니다 (다른 키 슬롯에 암호가 올바른 경우 포함).

암호 문구 중 하나를 잊어 버린 경우 제거하여 슬롯을 찾을 수만 있고 두 암호를 잊어 버린 경우 어떤 암호를 식별 할 수 없습니다 (그렇지 않으면 암호 문구 해시가 손상됨).

잊어 버린 암호를 제거하기 위해, cryptsetup luksKillSlot /dev/sda2 0기억하고있는 암호를 안전하게 실행 하고 입력 할 수 있습니다 . 키 슬롯을 닦아, cryptsetup적어도이 배치 모드에서 (즉, 전혀 실행되지 않을 때, 다른 키 슬롯에 대한 암호를 요구 --batch-mode, --key-file=-또는 이에 상응하는 옵션).


6

더 간단한 방법 (이제?)은 --verbose옵션을 지정하지 않고 명령을 사용 하는 --key-slot것입니다.

# cryptsetup --verbose open --test-passphrase /dev/sda2
Enter passphrase for /dev/sda2: 
Key slot 4 unlocked.

좋은 슬롯을 찾기 위해 반복하지 않고도 올바른 슬롯을 자동으로 확인합니다. :)

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.