¿Cómo eliminar el cifrado LUKS?

12

Intenté eliminar el cifrado LUKS en mi directorio de inicio usando el siguiente comando:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Pero me da un error que dice:

Device / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd no es un dispositivo LUKS válido.

Perplejo, probé lo siguiente:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

Y dice:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Parece que el dispositivo encriptado está activo, pero no es válido. ¿Qué podría estar mal aquí?

Desbordamiento de preguntas
fuente

Respuestas:

14
  • Apoyo
  • Reformatear
  • Restaurar

cryptsetup luksRemoveKeysolo eliminaría una clave de cifrado si tuviera más de una. El cifrado aún estaría allí.

La sección de la Guía de instalación de Fedora C.5.3 explica cómo luksRemoveKeyfunciona.

Que es "imposible" eliminar el cifrado mientras se mantiene el contenido es solo una suposición educada. Lo baso en dos cosas:

  • Debido a que el contenedor LUKS tiene un sistema de archivos o LVM o lo que sea sobre él, solo eliminar la capa de cifrado requeriría conocer el significado de los datos almacenados encima, que simplemente no está disponible. Además, un requisito sería que sobrescribir una parte del volumen LUKS con su contraparte descifrada, no rompería el resto del contenido LUKS, y no estoy seguro de si eso se puede hacer.
  • Implementarlo resolvería un problema que está tan lejos del objetivo de LUKS como sea posible, y me parece muy poco probable que alguien se tome el tiempo para hacerlo en lugar de algo más "significativo".
MattBianco
fuente
Cómo lo supiste? ¿Alguna referencia?
Desbordamiento de preguntas el
Se agregó una referencia a la Guía de instalación de Fedora y por qué creo que la restauración de copia de seguridad es la única opción para pasar de cifrado de disco completo a no cifrado.
MattBianco
7

En primer lugar, al eliminar una frase de contraseña de una partición LUKS, debe especificar la partición del disco donde reside, como:

cryptsetup luksRemoveKey /dev/sda2

Y cuando desee el estado de un dispositivo cifrado con LUKS, debe referirse al nombre LUKS, como lo hizo.

Pero luksRemoveKey solo elimina una de las frases de contraseña (y nunca la última). Si desea descifrar permanentemente, debe usar cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
fuente
FWIW, para dispositivos LUKS 2 cryptsetuptiene un subcomando reencriptar .
maxschlepzig