Как удалить неизвестный ключ из LUKS с cryptsetup?

Question 1

Мой зашифрованный диск LUKS имеет 3 пароля. Два из них безопасны (и долго), другой потерян. Однако я смутно помню, что это не было в нормальном состоянии; это использовалось во время экспериментов и должно было быть вытерто впоследствии. Как я могу избавиться от того ключа, учитывая я больше не знаю это, но по крайней мере другие два?

Question 2

Волшебная опция luksKillSlot.

Точка должна выяснить, какой из Ваших трех keyslots содержит ключ, который будет удален. Если Вы еще не знаете это, можно проверить это путем попытки всех известных ключей один за другим и позволить cryptsetup скажите Вам, которых ключ отсылает к который слот. Неизвестный ключ затем относится к остающемуся слоту.

Проверьте, какие слоты используются (в моих слотах 0, 1 случая, и 2 используются). Замена /dev/sdb4 с Вашим существующим устройством:

root@host:~# cryptsetup luksDump /dev/sdb4
LUKS header information for /dev/sdb4
...
Key Slot 0: ENABLED
...
Key Slot 1: ENABLED
...
Key Slot 2: ENABLED
...
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Теперь открытый (=decrypt) Ваше устройство с Вашим первым ключом и позволяют cryptsetup будьте подробными, таким образом, это показывает, какой слот использовался для разблокирования устройства:

root@host:~# cryptsetup -v open --type luks /dev/sdb4 someAlias
[enter one of your two known keys]
Key slot 2 unlocked.
Command successful.

Помните, какой слот (2 в этом случае) первый ключ, отнесенный в и, отменяет шаг:

root@host:~# cryptsetup close someAlias

Повторитесь со своим вторым известным ключом:

root@host:~# cryptsetup -v open --type luks /dev/sdb4 someAlias
[enter the second of your two known keys]
Key slot 0 unlocked.
Command successful.
root@host:~# cryptsetup close someAlias

Теперь Вы знаете, что два известных ключа относятся к слоту 2 и слоту 0. Таким образом, слот 1 должен быть тем, который содержит неизвестный ключ. Удалите его с:

root@host:~# cryptsetup -v luksKillSlot /dev/sdb4 1
Keyslot 1 is selected for deletion.
Enter any remaining passphrase: 
[enter one of the two known keys]
Key slot 0 unlocked.
Command successful.

Попробуйте:

root@host:~# cryptsetup luksDump /dev/sdb4
LUKS header information for /dev/sdb4
...
Key Slot 0: ENABLED
...
Key Slot 1: DISABLED
Key Slot 2: ENABLED
...
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

PerlDuck · Accepted Answer · 7 December 2019 в 13:18