LUKS 标头已修改?

LUKS 标头已修改?

当LUKS密码发送到LUKS标头进行解密时,修改LUKS标头的黑客是否会窃取该密码?假设我的启动分区是健康的。

答案1

LUKS 标头不包含可执行代码,仅包含 LUKS 分区主密钥的一个或多个加密副本。每个配置的密码/密钥文件/其他访问方法都会解密主密钥的副本,这是访问加密磁盘所需的。 LUKS 密码不会“发送到 LUKS 标头进行解密”:相反,cryptsetup luksOpen命令LUKS 标头,然后使用密码在内存中对其进行解密。

如果黑客成功修改了 LUKS 标头,则几乎表明黑客(或黑客工具)已经知道 LUKS 密码,因为需要成功修改 LUKS 标头而不损坏它。

一种可能的情况是,黑客添加了cryptsetup修改后的命令来替换根分区的 initramfs 文件中的常规命令:修改后的命令cryptsetup会像普通命令一样请求您的 LUKS 密码,但是,除了解锁磁盘之外,还会重新启动您的 LUKS 密码。 - 使用攻击者已知的另一个密码加密 LUKS 分区的主密钥,并将其存储在 LUKS 标头中的空闲槽之一中。或者,它可以将未加密的主密钥存储在加密的 LUKS 分区之外的某个隐藏位置。然后,修改后的文件cryptsetup可能会用原始文件替换引导分区上修改后的 initramfs 文件,从而很难检测到底发生了什么。

cryptsetup luksDump可用于以人类可读的形式查看 LUKS 标头的内容。如果您发现正在使用的密钥槽比预期多,您可以使用cryptsetup luksKillSlot禁用未经授权的密钥槽,而无需知道与其关联的密码。请小心使用此命令:如果您使用此命令出错,则可能会将自己锁定在加密磁盘之外。

相关内容