Como remover a criptografia LUKS?

12

Tentei remover a criptografia LUKS no meu diretório pessoal usando o seguinte comando:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

Mas isso me dá um erro dizendo:

O dispositivo / dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd não é um dispositivo LUKS válido.

Confuso, tentei o seguinte:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

E diz:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

Parece que o dispositivo criptografado está ativo, mas não é válido. Oque pode estar errado aqui?

Pergunta Overflow
fonte

Respostas:

14
  • Cópia de segurança
  • Reformatar
  • Restaurar

cryptsetup luksRemoveKeyremoveria apenas uma chave de criptografia se você tivesse mais de uma. A criptografia ainda estaria lá.

A Seção C.5.3 do Guia de Instalação do Fedora explica como luksRemoveKeyfunciona.

Que é "impossível" remover a criptografia enquanto mantém o conteúdo é apenas um palpite. Basico isso em duas coisas:

  • Como o contêiner LUKS possui um sistema de arquivos ou LVM ou qualquer outra coisa, apenas remover a camada de criptografia exigiria conhecimento do significado dos dados armazenados nele, o que simplesmente não está disponível. Além disso, um requisito seria que a substituição de uma parte do volume LUKS por sua contraparte descriptografada não quebrasse o restante do conteúdo LUKS e não tenho certeza se isso pode ser feito.
  • Implementá-lo resolveria um problema que está tão longe do objetivo do LUKS quanto você pode obter, e acho muito improvável que alguém dedique algum tempo para fazer isso, em vez de algo mais "significativo".
MattBianco
fonte
Como você sabia disso? Alguma referência?
Pergunta Overflow
Adicionada referência ao Guia de Instalação do Fedora e por que acredito que a restauração de backup é a única opção para passar da criptografia de disco completo para a não criptografia.
precisa saber é o seguinte
7

Em primeiro lugar, ao remover uma senha de uma partição LUKS, você precisa especificar a partição do disco em que ela reside, como:

cryptsetup luksRemoveKey /dev/sda2

E quando você deseja o status de um dispositivo criptografado por LUKS, precisa se referir ao nome LUKS, como fez.

Mas luksRemoveKey remove apenas uma das frases secretas (e nunca a última). Se você deseja descriptografar permanentemente, precisará usar o cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2
pepa65
fonte
FWIW, para dispositivos LUKS 2, cryptsetuppossui um subcomando de recodificação .
maxschlepzig