누군가가 LUKS 디스크의 헤드를 훔쳐서 내 LUKS 비밀번호를 해독한 다음 비밀번호를 변경한 경우에도 그 사람이 훔친 헤드를 사용하여 내 데이터를 해독할 수 있습니까? 그렇다면 데이터 손실 없이 이런 일이 발생하지 않도록 하려면 어떻게 해야 합니까? cryptsetup-reencrypt이것이 해결책이 될 것 같지만 확실하지 않습니다.
답변1
첫째, 디스크에서 대량의 데이터를 이동하는 작업(예: LUKS 컨테이너 재암호화)에는 데이터 손실 위험이 내재되어 있습니다. 데이터 손실을 방지하는 유일한 방법은 안정적인 백업을 확보하는 것입니다.
경고: cryptsetup-reencrypt 프로그램은 재암호화 중 하드웨어 또는 커널 오류에 면역되지 않습니다(이 경우 데이터가 손실될 수 있음). 이 도구를 사용하기 전에 항상 안정적인 백업이 있는지 확인하십시오. - 원천:
man cryptsetup-reencrypt
즉, 도난당한 LUKS 헤더를 사용하여 LUKS 컨테이너를 잠금 해제할 수 있습니다. 그 이유는 데이터를 암호화하는 데 비밀번호가 사용되지 않기 때문입니다. 대신 완전히 다른 암호화 키를 사용하세요. 그리고 이 키는 본질적으로 LUKS 컨테이너를 재정의하지 않는 한 변경되지 않습니다 cryptsetup-reencrypt. 비밀번호는 단순히 실제 암호화 키에 액세스하는 방법을 제공합니다.