Comment rendre Ubuntu inutilisable en supprimant la clé de chiffrement complète du disque?

3

Je suis prêt à me débarrasser d'un ancien ordinateur crypté à l'aide du cryptage intégral du disque LUKS. Est-il possible de supprimer la clé de cryptage des métadonnées LUKS afin que personne ne puisse plus jamais déverrouiller la partition? Si oui, comment puis-je faire cela?

encryption luks Vingt milles
la source
Vous pouvez démarrer depuis un USB (Live CD) et exécuter dd if=/dev/urandom of=/dev/sda bs=1Mou quelque chose de similaire.
Charles Green
1
Duplication possible de l' effacement sécurisé du disque dur à l'aide de l'utilitaire de disque
Charles Green
Si la phrase secrète est sécurisée, les données le sont aussi ... mais cela n'empêche pas de les deviner. Il est donc bon de modifier et d'effacer (cela ressemble presque à une ligne de
frappe
@CharlesGreen écrasant tout le disque, c'est trop pour LUKS, je
posterai

Réponses:

3

Le simple remplacement de l’en-tête de LUKS fonctionnera; écraser le lecteur entier est déjà excessif pour LUKS et prendrait peut-être des heures de plus.

L'en-tête de LUKS peut faire 1 Mo ou 2 Mo ou plus, en fonction du type et du nombre de clés. ArchWiki conseille d'effacer / écraser les 10 premiers Mo:

dd if=/dev/urandom of=/dev/sdx2 bs=512 count=20480

Notez la partition correcte sdx2 ou quoi que ce soit, vous pouvez vérifier avec un live dvd / usb et lsblkou blkidet confirmer avec la cryptsetupcommande ci-dessous, cela vous dira si la partition sdx5, par exemple, est un périphérique LUKS:

cryptsetup -v isLuks /dev/sdx5

Également de ArchWiki:

Remarque: Il est essentiel d'écrire sur la partition chiffrée LUKS (/ dev / sdx5 dans cet exemple) et non directement sur le nœud du périphérique des disques. Si vous avez configuré le cryptage en tant que couche de mappeur de périphériques au-dessus d’autres, par exemple, LVM sur LUKS sur RAID puis écrivez sur RAID, respectivement.

Vous pouvez uniquement (ou en plus) supprimer tous les emplacements de clé luks, sans laisser de clé, si vous connaissez une phrase secrète qui fonctionne. Voir man cryptsetupou une version web ici , avec:

cryptsetup -v luksRemoveKey <device>

ou

cryptsetup -v luksKillSlot <device> <key slot number>

Notez également à propos des SSD (également de ArchWiki):

Lorsque vous effacez l'en-tête avec des données aléatoires, tout ce qui reste sur le périphérique est crypté. Une exception à cela peut se produire pour un disque SSD, en raison des blocs de cache que les disques SSD utilisent. En théorie, il peut arriver que l’en-tête ait été mis en cache quelque temps auparavant et que, par conséquent, cette copie soit toujours disponible après l’effacement de l’en-tête original. Pour des raisons de sécurité importantes, un effacement ATA sécurisé du disque SSD doit être effectué (voir la procédure à suivre à la FAQ 5.19 de Cryptsetup ).

Xen2050
la source