如果有人窃取了 LUKS 磁盘的磁头并破解了我的 LUKS 密码,然后我更改了密码,该人仍然可以使用被盗的磁头解密我的数据吗?如果是,我该如何防止这种情况发生而不丢失数据?cryptsetup-reencrypt看起来这可能是解决方案,但我不确定。
答案1
首先,任何涉及在磁盘上移动大量数据的操作(例如重新加密 LUKS 容器)都存在数据丢失的固有风险。防止数据丢失的唯一措施是拥有可靠的备份。
警告: cryptsetup-reencrypt 程序在重新加密期间无法抵抗硬件或内核故障(在这种情况下您可能会丢失数据)。在使用此工具之前,请务必确保您有可靠的备份。 - 来源:
man cryptsetup-reencrypt
也就是说,被盗的 LUKS 标头可用于解锁 LUKS 容器。原因是密码从未用于加密数据。相反,使用完全不同的加密密钥。并且这个密钥永远不会改变;除非您重写 LUKS 容器,这本质上就是这样cryptsetup-reencrypt做的。密码只是提供一种访问真实加密密钥的方法。