Comment supprimer le cryptage LUKS?

12

J'ai essayé de supprimer le cryptage LUKS sur mon répertoire personnel à l'aide de la commande suivante:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Mais cela me donne une erreur en disant:

Le périphérique / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd n'est pas un périphérique LUKS valide.

Intrigué, j'ai essayé ce qui suit:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

Et ça dit:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Il semble que l'appareil crypté soit actif, mais non valide. Qu'est-ce qui pourrait mal ici?

Débordement de question
la source

Réponses:

14
  • Sauvegarde
  • Reformater
  • Restaurer

cryptsetup luksRemoveKeyne supprimerait une clé de cryptage que si vous en aviez plusieurs. Le cryptage serait toujours là.

Le Fedora Installation_Guide Section C.5.3 explique comment cela luksRemoveKeyfonctionne.

Qu'il est «impossible» de supprimer le cryptage tout en conservant le contenu n'est qu'une supposition éclairée. Je fonde cela sur deux choses:

  • Parce que le conteneur LUKS a un système de fichiers ou LVM ou quoi que ce soit au-dessus, la suppression de la couche de chiffrement nécessiterait la connaissance de la signification des données stockées dessus, qui n'est tout simplement pas disponible. En outre, une exigence serait que l'écrasement d'une partie du volume LUKS avec son homologue déchiffré ne casse pas le reste du contenu LUKS, et je ne sais pas si cela peut être fait.
  • Sa mise en œuvre résoudrait un problème qui est à peu près aussi éloigné de l'objectif de LUKS que possible, et je trouve très peu probable que quelqu'un prenne le temps de le faire au lieu de quelque chose de plus "significatif".
MattBianco
la source
Comment saviez-vous que? Des références?
Débordement de questions
Ajout d'une référence au Guide d'installation de Fedora et pourquoi je pense que la sauvegarde-restauration est la seule option pour passer du cryptage complet du disque au non-cryptage.
MattBianco
7

Tout d'abord, lors de la suppression d'une phrase secrète d'une partition LUKS, vous devez spécifier la partition de disque où elle réside, comme:

cryptsetup luksRemoveKey /dev/sda2

Et lorsque vous voulez le statut d'un périphérique crypté LUKS, vous devez vous référer au nom LUKS, comme vous l'avez fait.

Mais luksRemoveKey ne supprime qu'une des phrases de passe (et jamais la dernière). Si vous souhaitez décrypter de façon permanente, vous devez utiliser cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
la source
FWIW, pour les appareils LUKS 2 cryptsetupa une sous-commande de rechiffrement .
maxschlepzig