누군가 FDE/LUKS 마스터 키를 훔친 경우 LUKS 장치를 다시 만들어야 합니까, 아니면 LUKS 비밀번호만 변경하면 됩니까?
답변1
마스터 키는 디스크를 암호화하는 데 사용됩니다. 다른 모든 키와 비밀번호는 마스터 키에만 액세스할 수 있습니다.
그 이유는 LUKS 비밀번호를 변경하려는 경우(또는 여러 비밀번호를 사용하려는 경우) 소량의 데이터만 암호화하거나 다시 암호화하면 되기 때문입니다. 단점은 마스터 키가 손상되면 전체 데이터 세트가 손상된다는 것입니다.
마스터 키는 더 이상 안전하지 않으므로 LUKS 비밀번호가 무엇인지는 더 이상 중요하지 않습니다. 대신, 이 시점에서는 전체 LUKS 볼륨을 교체하고 재구축하여 새 마스터 키가 있는지 확인해야 합니다. 또한 보안 절차를 검토하여 이전 마스터 키가 원래 어떻게 손상되었는지 확인해야 합니다.
다행스럽게도,cryptsetup-reencrypt
도구당신이 이것을 할 수있게 해줄 것입니다제자리에단, 이 프로세스 중에 볼륨을 오프라인으로 전환할 수 있습니다. 언제나 그렇듯이 미리 백업해 두는 것이 좋습니다. 플롯 개요매뉴얼 페이지:
cryptsetup-reencrypt
디스크 데이터 전체 변경(재암호화)이 필요한 재암호화 매개변수를 변경하는 데 사용할 수 있습니다. 볼륨 키(비밀번호 잠금 해제를 통한 디스크 암호화에 사용되는 실제 키), 비밀번호, 비밀번호 모드를 다시 생성할 수 있습니다.