我应该预先存储哪些信息以便能够恢复加密数据?

我应该预先存储哪些信息以便能够恢复加密数据?

我能找到的所有关于加密数据恢复的帖子都涉及特定情况。我目前有可正常运行的分区和目录,但我想在出现问题时最大限度地恢复数据(除了备份之外)。在以下设置下,我应该将哪些信息(如密钥、密码、配置等)保存在冷存储中?

Ubuntu 根目录安装在 LUKS 加密驱动器上。我还有第二个 HDD,也是 LUKS 加密的,并设置为登录时自动挂载。此外,我的主目录使用 ecryptfs 挂载。

我知道对于 ecryptfs,我应该存储 ecryptfs-unwrap-passphrase 的输出,但是对于每个 LUKS 分区应该做什么?我隐约记得还有一些其他密码应该存储,以防特定分区头信息损坏。

谢谢你的帮助。顺便说一句,如果有人对冷藏感兴趣,我计划简单地创建 H 级(高纠错)二维码,以便与实际数据一起打印到纸上作为文本。

答案1

在终端屏幕上运行 ecryptfs-unwrap-passphrase 并记下输出以供灾难恢复。

  1. 在终端屏幕上输入 ecryptfs-unwrap-passphrase
  2. 它会提示你“密码:”,它需要你的用户登录密码
  3. 输出将看起来像这个例子“1b6acbada5e3a61ebe324a4745e61ba8”,32 个字符的输出是您需要记下来并存储在安全地方的“密码”。

要在未来恢复您的数据,请按照本指南操作。

http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/

答案2

对于 LUKS,解密唯一关键的数据是 LUKS 标头。可以使用 将标头备份到文件中,cryptsetup luksHeaderBackup并使用 恢复cryptsetup luksHeaderRestore。请参阅man cryptsetup

luksHeaderBackup <device> --header-backup-file <file>

存储 LUKS 标头和键槽区域的二进制备份。

注意:使用‘-’作为文件名会将标题备份写入名为‘-’的文件。

警告:此备份文件和备份时有效的密码短语允许解密 LUKS 数据区域,即使密码短语后来被更改或从 LUKS 设备中删除。另请注意,使用标头备份,您将无法通过仅覆盖标头和密钥槽来安全擦除 LUKS 设备。您要么需要另外安全地擦除所有标头备份,要么也覆盖加密数据区域。第二种选择不太安全,因为某些扇区可以保留下来,例如由于缺陷管理。

luksHeaderRestore <device> --header-backup-file <file>

从指定文件恢复 LUKS 标头和键槽区域的二进制备份。

注意:使用‘-’作为文件名会从名为‘-’的文件中读取标题备份。

警告:标题和密钥槽将被替换,之后只有备份中的密码才会起作用。

此命令要求设备上已有的 LUKS 标头和标头备份的主密钥大小和数据偏移量匹配。或者,如果设备上没有 LUKS 标头,则备份也会写入其中。

相关内容