我最近使用“替代”安装程序提供的 LUKS+LVM 组合将 Ubuntu 安装在加密分区上。现在我想创建我的硬盘的备份。
来自LUKS 常见问题解答:
6.15 我可以克隆 LUKS 容器吗?
可以,但这样会破坏安全性,因为克隆的容器具有相同的标头,因此具有相同的主密钥。您无法更改 LUKS 容器上的主密钥,即使您更改密码,主密钥也保持不变。这意味着任何有权访问其中一个克隆的人都可以解密它们,完全绕过密码。
如果我的加密高清文件存在一个完美的克隆,它包含以下内容,那么它如何能够破坏安全性?完全相同的信息作为我的直播加密高清?
从什么意义上说,保留我的 LUKS 加密 HD 的更新克隆会“破坏安全性”?
答案1
只要克隆文件与原始文件完全相同,就不会存在安全漏洞。但是,如果您向原始文件或克隆文件添加数据,或者更改密码,克隆文件的存在就会带来安全问题。
克隆的问题在于,能够访问克隆将永远等同于能够访问原始文件。首先,如果您在不安全的环境中使用克隆,有人可以获得您的密码(使用键盘记录器、肩窥等),那么他们就会获得原始文件的密码。此外,如果有人能够获得克隆文件上的主密钥,那么他们就拥有原始文件上的主密钥(即他们可以访问原始文件,无论他们是否有原始文件的密码)。因此,如果
- 你将克隆文件安装在受感染的机器上;或者
- 攻击者可以获得您的密码和使用该密码加密的克隆副本;或者
- 攻击者可以访问加密的克隆,并能够通过字典搜索破解您的密码;
然后攻击者获得对克隆的访问权限和可以解密原始文件。由于主密钥是固定不变的,因此即使您在克隆后更改了密码,情况也是如此。
要安全地克隆 LUKS 卷,您应该创建一个新卷,应用相同的密码(除非您想更改它),然后复制数据。