Bagaimana cara menghapus enkripsi LUKS?

12

Saya mencoba menghapus enkripsi LUKS pada direktori home saya menggunakan perintah berikut:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Tapi itu memberi saya kesalahan mengatakan:

Perangkat / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd bukan perangkat LUKS yang valid.

Bingung, saya mencoba yang berikut ini:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

Dan tertulis:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Tampaknya perangkat terenkripsi aktif, tetapi tidak valid. Apa yang salah di sini?

Pertanyaan Melimpah
sumber

Jawaban:

14
  • Cadangkan
  • Reformat
  • Mengembalikan

cryptsetup luksRemoveKeyhanya akan menghapus kunci enkripsi jika Anda memiliki lebih dari satu. Enkripsi akan tetap ada.

The Fedora Installation_Guide Bagian C.5.3 menjelaskan cara luksRemoveKeykerjanya.

Bahwa "mustahil" untuk menghapus enkripsi sembari menjaga konten hanyalah dugaan yang terpelajar. Saya mendasarkannya pada dua hal:

  • Karena wadah LUKS memiliki sistem file atau LVM atau apa pun di atasnya, hanya menghapus lapisan enkripsi akan memerlukan pengetahuan tentang artinya data yang disimpan di atasnya, yang tidak tersedia. Selain itu, syaratnya adalah bahwa menimpa bagian dari volume LUKS dengan mitra yang didekripsi, tidak akan merusak sisa konten LUKS, dan saya tidak yakin apakah itu dapat dilakukan.
  • Menerapkannya akan memecahkan masalah yang jauh dari tujuan LUKS yang Anda dapat, dan saya merasa sangat tidak mungkin bahwa seseorang akan meluangkan waktu untuk melakukan itu daripada sesuatu yang lebih "bermakna".
MattBianco
sumber
Bagaimana kamu tahu itu? Ada referensi?
Pertanyaan Overflow
Referensi tambahan untuk Panduan Instalasi Fedora dan mengapa saya percaya backup-restore adalah satu-satunya pilihan untuk beralih dari enkripsi disk penuh ke tanpa enkripsi.
MattBianco
7

Pertama, ketika menghapus frasa sandi dari partisi LUKS, Anda perlu menentukan partisi disk tempat ia berada, seperti:

cryptsetup luksRemoveKey /dev/sda2

Dan ketika Anda menginginkan status dari perangkat yang dienkripsi LUKS, Anda perlu merujuk ke nama LUKS, seperti yang Anda lakukan.

Tapi luksRemoveKey hanya menghilangkan salah satu passphrases (dan tidak pernah yang terakhir). Jika Anda ingin mendekripsi secara permanen, Anda harus menggunakan cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
sumber
FWIW, untuk perangkat LUKS 2 cryptsetupmemiliki sub- perintah reencrypt .
maxschlepzig