Как удалить шифрование LUKS?
Возможный путь состоял бы в том, чтобы добавить /etc/fstab запись для ISO с 'пользовательским' параметром, как
/test.iso /mnt/iso auto defaults,user 0 1
Но Вы обычно должны базироваться доступ так или иначе для редактирования этого файла, таким образом, это не очень полезно.
- Резервное копирование
- Переформатировать
- Восстановление
cryptsetup luksRemoveKey только удалил бы ключ шифрования, если бы у Вас был больше чем один. Шифрование все еще было бы там.
Fedora Раздел Installation_Guide C.5.3 объясняет как luksRemoveKey работы.
То, что "невозможно" удалить шифрование, в то время как хранение содержания является просто образованным предположением. Я основываю это на двух вещах:
- Поскольку контейнер LUKS имеет файловую систему или LVM или независимо от того, что сверху его, просто удалив слой шифрования потребовал бы знания значения данных, хранивших сверху его, который просто не доступен. Кроме того, требование было бы то, что, перезаписывая часть объема LUKS с его дешифрованным дубликатом, не повредит остальную часть содержания LUKS, и я не уверен, может ли это быть сделано.
- Реализация его решила бы проблему, которая является почти так далеко от цели LUKS, как можно добраться, и я нахожу его очень вряд ли, что кто-то не торопился бы, чтобы сделать это вместо чего-то более "значимого".
-
1Как Вы знали это? Какие-либо ссылки? – Question Overflow 11.01.2013, 17:34
-
2Добавленная ссылка на Инструкцию по установке Fedora и почему я верю резервному восстановлению, является единственной опцией для движения от полного шифрования диска до без шифрования. – MattBianco 11.01.2013, 18:07
Во-первых, при удалении парольной фразы из раздела LUKS вам необходимо указать раздел диска, на котором она находится, например:
cryptsetup luksRemoveKey /dev/sda2
И когда вы хотите получить статус от зашифрованного устройства LUKS -, вам нужно обратиться к имени LUKS -, как вы это сделали.
Но luksRemoveKey удаляет только одну из парольных фраз (и никогда не удаляет последнюю ). Если вы хотите навсегда расшифровать, вам нужно использовать cryptsetup -reencrypt:
cryptsetup-reencrypt --decrypt /dev/sda2
Удаление слотов ключей -похоже на забвение пароля, это не имеет ничего общего с перемещением замены устройства LUKS на файловую систему внутри него.
Вы МОЖЕТЕ -неразрушающим образом удалить шифрование LUKS с устройства без необходимости резервного копирования, переформатирования и восстановления. . cryptsetupподдерживает это, начиная с версии 1.5.0, выпущенной в 2012 году.
После успешного дешифрования устройства LUKS внутренняя файловая система становится доступной для ОС, и вы можете смонтировать ее напрямую.
Предупреждение:Это опасно, сначала создайте резервную копию всех ваших данных.
Для ЛУКС1:
- Загрузка с USB-накопителя
- Использовать `cryptsetup -перешифровать --расшифровать <устройство _путь>
Для ЛУКС2:
- Загрузка с USB-накопителя
- Преобразовать все ключевые слоты -для использования параметров, совместимых с LUKS1, с
cryptsetup luksChangeKey --pbkdf pbkdf2 <device_path> - Преобразуйте устройство LUKS2 в устройство LUKS1, используя
cryptsetup convert --type luks1 <device_path> - Выполните расшифровку, используя `cryptsetup -reencrypt --decrypt <путь к устройству _>
Я протестировал оба варианта, и они работают.
Текущие версии cryptsetup утверждают, что поддерживают прямую расшифровку LUKS2. устройства. Это команда cryptsetup --reencrypt --decrypt --header HEADER_FILE <device_path>. аргумент --headerобязателен, потому что команды предполагают, что ваше устройство использует отдельный заголовок. Если вы это сделаете, это сработает, и даже может сделать расшифровку онлайн. Если вы не используете отсоединенный заголовок (довольно часто ), и вы пытаетесь либо предоставить дамп заголовка или передача самого блочного устройства в качестве значения --header, cryptsetupбудет спокойно продолжаться, и когда он завершится, вы получите устройство LUKS2, в котором нет ключевых слотов -и ваши данные исчезнет. Это версия 2.3.3 (2020 ), в будущих версиях она может измениться.
Я рекомендую использовать более безопасный путь LUKS2 ->LUKS1 ->Decrypt, который, как я могу подтвердить, работает.