首先,我知道类似的问题已经得到回答。答案是肯定的,但我想要第二个意见,因为:
- 该问题未指定是 LUKS1 还是 LUKS2
- 我在维基百科上读到的一些内容让我产生了疑问。
所以,问题是:技术上, LUKS2 分离接头可以用于多个驱动器吗?我知道从安全角度来看不建议这样做(请参阅前面提到的帖子的答案),但在这里我只对问题的技术方面感兴趣。
令我疑惑的是维基百科的声明LUKS2 标头在其 JSON 区域中包含描述磁盘上加密区域的段。这意味着 LUKS2 标头绑定到特定驱动器,因此不能重新用于其他驱动器:
紧接着二进制头之后的是 JSON 区域,其中包含对象配置(配置)、键槽、摘要、段(描述磁盘上的加密区域)以及包含额外元数据的令牌。
所以你怎么看 ?同一 LUKS2 分离接头可以用于多个驱动器吗?几个相同的驱动器和几个完全不同的驱动器(例如,HDD 和 USB 记忆棒)之间是否可能存在差异?
答案1
这是可以做到的,但从安全角度来看,将其实际用于独立设备是一个坏主意。您链接的答案很好地涵盖了这一点。因此,我仅在数据相关时才推荐它,例如一台同一 LUKS 设备的备份映像或快照。或者也许在部署场景中,cryptsetup reencrypt将在第一次启动时将相同的标头切换为独立的标头。
可能存在一些导致设备无法使用给定 LUKS2 标头的副作用:
如果扇区大小为 4096,则设备大小必须是 4096 字节的倍数。 dm-crypt 将拒绝使用具有奇数个 512 字节扇区的设备(您必须使用具有大小限制的循环设备来自行丢弃最后部分 4K 扇区)。这很少是一个问题,因为现在大多数东西都是 4K 对齐的(并且您可以为 LUKS 坚持使用 512 字节扇区)。
如果您在 LUKS2 中使用 dm-integrity 等高级功能,则使用此标头打开的设备需要初始化。否则,它将具有所有错误的完整性校验和并且无法使用。因此 LUKS2+integrity 标头只能用于使用此标头初始化的设备。
正如您提到的,LUKS2 标头也可以描述特定的数据段(偏移量、大小),这会将其锁定到具有特定大小的设备。但实际上它仅用于“整个设备”加密,并且大小甚至不存储在标头中。
所以在 luksDump 中,它看起来像这样:
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 4096 [bytes]
您可以使用任何设备,cryptsetup 将为您加密整个内容。
使用外部标头,从技术上讲,偏移量可以设置为 0,尽管这有其自身的一系列问题 - 您的设备将缺少 UUID/LABEL,并且随机数据可能会被误识别为另一个有意义的数据。