LUKS 암호화 키 변경

LUKS 암호화 키 변경

암호화 비밀번호를 변경하려면 다음 명령을 사용할 수 있습니다.

cryptsetup luksChangeKey /dev/sda2

...이거 작동해요. 하지만 /dev/sda2 파티션을 새 비밀번호로 다시 암호화하는 방법은 무엇입니까?

이전 비밀번호가 손상되어 비밀번호만 변경하면 저장된 데이터는 새 비밀번호가 아닌 이전 비밀번호로 암호화됩니다.

답변1

당신의 가정은 잘못되었습니다.

저장된 데이터는아니요비밀번호로 암호화하되, 여러(보통 8개) 키 슬롯 중 하나에 저장된 키를 사용하세요. 귀하의 비밀번호는 이 키를 암호화/해독하는 데에만 사용됩니다. 그런 다음 이 키는 LUKS 컨테이너의 데이터를 암호화/해독합니다. 이 비밀번호를 변경하면 키가 새 비밀번호로 다시 암호화됩니다.

이는 또한 동일한 LUKS 컨테이너가 동시에 유효한 최대 8개(또는 슬롯 수에 관계없이)의 서로 다른 비밀번호를 가질 수 있음을 의미합니다. 이렇게 하면 사람들에게 서로 다른 비밀번호를 부여하고 더 이상 필요하지 않을 때 하나씩 취소할 수 있습니다. 모든 키 슬롯은 동일한 키를 보유하지만 서로 다른 비밀번호로 암호화됩니다.

경고하다:중요한 점은 비밀번호를 기억해야 할 뿐만 아니라 LUKS 헤더도 백업해야 한다는 것입니다. 그렇지 않으면 LUKS 헤더 영역에 오류가 발생하면 비밀번호를 알고 있어도 데이터를 다시 가져올 수 없습니다. (그러나 어쨌든 데이터를 백업해야 합니다.)

LUKS 디스크 포맷 세부정보 보기여기.

^올바르게 표현하자면, 아직 사용 가능한 키 슬롯이 있는 경우 새로 암호화된 키를 거기에 저장하고 이전 슬롯을 삭제하세요.

관련 정보