Как убрать шифрование LUKS?

12

Я попытался удалить шифрование LUKS в моем домашнем каталоге с помощью следующей команды:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Но это дает мне ошибку, говоря:

Устройство / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd не является допустимым устройством LUKS.

Озадаченный, я попробовал следующее:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

И это говорит:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Кажется, зашифрованное устройство активно, но недействительно. Что здесь может быть не так?

linux  encryption  luks 
Вопрос переполнен
источник

Ответы:

14
  • Резервный
  • Переформатировать
  • Восстановить

cryptsetup luksRemoveKeyудалит только ключ шифрования, если у вас их больше одного. Шифрование все еще будет там.

Раздел Fedora Installation_Guide C.5.3 объясняет, как luksRemoveKeyработает.

То, что «невозможно» удалить шифрование при сохранении содержимого, является лишь обоснованным предположением. Я основываю это на двух вещах:

  • Поскольку контейнер LUKS имеет файловую систему или LVM или что-то еще поверх него, простое удаление уровня шифрования потребует знания значения данных, хранящихся поверх него, которые просто недоступны. Кроме того, требовалось бы, чтобы перезапись части тома LUKS его расшифрованным аналогом не нарушала бы остальную часть контента LUKS, и я не уверен, что это можно сделать.
  • Реализация этого позволит решить проблему, которая настолько далека от цели LUKS, насколько вы можете ее получить, и я считаю очень маловероятным, что кто-то потратит время, чтобы сделать это вместо чего-то более «значимого».
MattBianco
источник
Откуда ты знал это? Любые ссылки?
переполнение вопроса 11.01.13
Добавлена ​​ссылка на Руководство по установке Fedora и почему я считаю, что резервное копирование-восстановление - это единственный вариант перехода от полного шифрования диска к отсутствию шифрования.
MattBianco
7

Во-первых, при удалении ключевой фразы из раздела LUKS необходимо указать раздел диска, на котором он находится, например:

cryptsetup luksRemoveKey /dev/sda2

И когда вы хотите получить статус от устройства, зашифрованного LUKS, вам нужно обратиться к LUKS-имени, как вы это и сделали.

Но luksRemoveKey удаляет только одну из парольных фраз (и никогда не последнюю). Если вы хотите постоянно дешифровать, вы должны использовать cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
источник
FWIW, для устройств LUKS 2 cryptsetupесть подкоманда reencrypt .
maxschlepzig
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.