如果有人窃取了我们的 FDE/LUKS 主密钥,那么我们必须重新创建 LUKS 设备,还是只更改 LUKS 密码就足够了?
答案1
主密钥用于加密磁盘。所有其他密钥和密码仅提供对主密钥的访问。
其背后的原因是,如果您想要更改 LUKS 密码(或拥有多个密码),则只需加密或重新加密少量数据。缺点是一旦你的主密钥被泄露,你的整个数据集就会被泄露。
由于您的主密钥不再安全,因此您的 LUKS 密码是什么不再重要。相反,此时您应该替换并重建整个 LUKS 卷,确保它具有新的主密钥。您还应该检查您的安全程序,以确定您以前的主密钥最初是如何被泄露的。
幸运的是,cryptsetup-reencrypt
工具将允许你这样做到位前提是您可以在此过程期间使卷脱机。与以往一样,强烈建议您提前进行备份。剧情简介来自手册页:
cryptsetup-reencrypt
可用于更改重新加密参数,否则需要完全更改磁盘数据(重新加密)。您可以重新生成卷密钥(通过密码解锁的磁盘加密中使用的真实密钥)、密码、密码模式。