我用来保护 SSD 的 LUKS 密钥最近被盗用了,但我怀疑更改密钥的效果如何,因为 LUKS 标头可能不会被覆盖。事实上,我想知道在这种情况下唯一安全的程序是否只是清理 SSD!没有启用基于固件的加密。
来自在线论坛:
如果您有 SSD:
请注意,固态设备很可能不会覆盖 LUKS 标头,而是将新的标头写入另一个内存单元(这是为延长 SSD 寿命而设计的磨损均衡算法)。如果您担心这一点,并且有足够多的近期备份(您总是应该有),请使用实时 CD 对整个 SSD 执行 ATA 安全擦除,然后重新安装 Qubes OS。 https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase
我不知道是否有某种方法可以强制删除它,或者这是否与最近的 SSD 驱动器无关。
如果我上面的推理是正确的,那么解决方案要么是销毁 LUKS 标头(如果加密数据保留在原处,则无关紧要),要么是重新加密数据(如果之前的标头被泄露,则无关紧要)。因为在 SSD 上覆盖磁盘的特定部分很困难,所以我认为第二种选择是可行的。这个答案如果恢复了密钥被泄露的旧 LUKS 标头,是否可以使用它来读取数据?建议使用 cryptsetup 重新加密。
我的思路正确吗?具体该如何实现?