在阅读“man cryptsetup”和许多 StackExchange 问题后,我很困惑:LUKS 是否使用相同的每个插槽中都有主密钥吗?
如果我执行下面的命令,显示的主密钥会不是更改——即未列出其他主密钥。
cryptsetup luksDump /dev/xvdd1
cryptsetup luksAddKey /dev/xvdd1 --key-slot 1
cryptsetup luksAddKey /dev/xvdd1 --key-slot 2
cryptsetup luksDump /dev/xvdd1
这是术语问题吗?意思是,你有:
- 主密钥(用于加密和解密分区)
- 密码(用于加密主密钥)
- 密钥文件(用于加密主密钥)
答案1
是的,这是同一个主密钥。毕竟,磁盘上只有一份数据副本,并且仅以一种方式加密,因此就数据本身而言,只有一个密钥。如果您使用不同的主密钥,您会看到每个密钥槽的不同“随机”数据,这不是很有用。可以更改主密钥,但需要重新加密所有数据(请参阅 参考资料cryptsetup-reencrypt)。