С luks, когда выполняется фактическое шифрование или дешифрование, в luksFormat, luksOpen или во время создания файловой системы на / dev / mapper?

Question 1

Мне стало любопытно узнать, когда фактически начинается задача шифрования / дешифрования, чтобы лучше понять внутреннюю работу luks. Я начал задаваться вопросом, когда использовал отдельные заголовки, я попытался (намеренно) использовать неправильный заголовок, чтобы расшифровать диск. При запуске luksOpen это было успешно, но при запуске монтирования по пути / dev / mapper произошел сбой с ошибкой о возможно плохой fs или suberblock . При использовании правильного заголовка все прошло успешно. Я видел, что при запуске luksFormat, используя путь, непосредственно указывающий на файл заголовка, он говорил, что перезапишет этот файл, и хочет узнать, нормально ли это (набрав прописные буквы «да»), о том, что он перезапишет сам диск.

Так почему же luksOpen будет успешным, если у него неправильный заголовок для устройства luks, хотя пароль правильный? , и команда монтирования будет включена Будет ли успешным, если для его расшифровки правильный мастер-ключ?

Спасибо

Question 2

Причина, по которой вы можете успешно открыть том LUKS с неправильным отсоединенным заголовком, вероятно, заключается в том, что ваша парольная фраза не расшифровывает фактические данные на томе, а расшифровывает только главный ключ, который содержится в заголовке, который, в свою очередь, используется для расшифровки тома. Главный ключ LUKS1 имеет длину 256 бит, что намного сильнее, чем средняя кодовая фраза, которую может запомнить человек.

Таким образом, когда вы выполняете luksOpen, он на самом деле только проверяет правильность парольной фразы (или существует ли она в одном из слотов для ключей), а затем использует ее для расшифровки главного ключа. Фактический объем данных, насколько я понимаю, просто зашифрован в "простом" режиме с использованием главного ключа в качестве ключевой фразы. Это означает, что он не «знает», является ли ключ, использованный для его расшифровки, правильным или нет.

Вот почему обычно достаточно перезаписать часть заголовка, чтобы уничтожить зашифрованный с помощью LUKS том, поскольку подобрать его с помощью 256-битной парольной фразы практически невозможно.

Вы, вероятно, уже нашли это, но здесь есть ценная информация о том, как работает LUKS.

score 0 · Answer 1 · 7 May 2021 в 17:43

Причина, по которой вы можете успешно открыть том LUKS с неправильным отсоединенным заголовком, вероятно, заключается в том, что ваша парольная фраза не расшифровывает фактические данные на томе, а расшифровывает только главный ключ, который содержится в заголовке, который, в свою очередь, используется для расшифровки тома. Главный ключ LUKS1 имеет длину 256 бит, что намного сильнее, чем средняя кодовая фраза, которую может запомнить человек.

Таким образом, когда вы выполняете luksOpen, он на самом деле только проверяет правильность парольной фразы (или существует ли она в одном из слотов для ключей), а затем использует ее для расшифровки главного ключа. Фактический объем данных, насколько я понимаю, просто зашифрован в "простом" режиме с использованием главного ключа в качестве ключевой фразы. Это означает, что он не «знает», является ли ключ, использованный для его расшифровки, правильным или нет.

Вот почему обычно достаточно перезаписать часть заголовка, чтобы уничтожить зашифрованный с помощью LUKS том, поскольку подобрать его с помощью 256-битной парольной фразы практически невозможно.

Вы, вероятно, уже нашли это, но здесь есть ценная информация о том, как работает LUKS.

С luks, когда выполняется фактическое шифрование или дешифрование, в luksFormat, luksOpen или во время создания файловой системы на / dev / mapper?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: