- バックアップ
- 再フォーマット
- 元に戻す
cryptsetup luksRemoveKey 複数の暗号化キーがある場合にのみ、暗号化キーを削除します。暗号化はそのままです。
Fedora Installation_Guide セクション C.5.3 では、luksRemoveKey の方法について説明しています。 動作します。
内容を保持したまま暗号化を解除することは「不可能」であることは、知識に基づいた推測にすぎません。私はそれを次の 2 つのことに基づいています。
- LUKS コンテナにはファイルシステムまたは LVM などがあるため、何でも さらに、暗号化層を削除するだけでも、意味の知識が必要になります。 その上に保存されているデータの。これは単に利用できません。また、LUKS ボリュームの一部を復号化された対応する部分で上書きしても、残りの LUKS コンテンツが壊れないようにする必要がありますが、それが可能かどうかはわかりません。
- それを実装することで、LUKS の目的とはかけ離れた問題を解決することができます。また、より「意味のある」ものではなく、そのために時間を割く人がいる可能性は非常に低いと思います。 リ>
まず、LUKS パーティションからパスフレーズを削除する場合、パスフレーズが存在するディスク パーティションを次のように指定する必要があります。
cryptsetup luksRemoveKey /dev/sda2
また、LUKS で暗号化されたデバイスからのステータスが必要な場合は、先ほど行ったように、LUKS 名を参照する必要があります。
しかし、luksRemoveKey はパスフレーズの 1 つだけを削除します (最後のパスフレーズは決して削除しません)。永久に復号化したい場合は、cryptsetup-reencrypt を使用する必要があります:
cryptsetup-reencrypt --decrypt /dev/sda2
キースロットを削除することは、パスワードを忘れることに似ています。LUKS デバイスをその中のファイルシステムに置き換えて移動することとは何の関係もありません。
LUKS 暗号化をデバイスから非破壊的に削除できます。バックアップ、再フォーマット、復元は必要ありません。 . cryptsetup は、2012 年にリリースされたバージョン 1.5.0 以降、これをサポートしています。
LUKS デバイスの復号化に成功すると、内部のファイルシステムが OS で利用可能になり、直接マウントできるようになります。
警告: これは危険です。最初にすべてのデータをバックアップしてください。
LUKS1 の場合:
<オール>LUKS2 の場合:
<オール>cryptsetup luksChangeKey --pbkdf pbkdf2 <device_path> の LUKS1 互換パラメーターを使用するようにすべてのキースロットを変換します cryptsetup convert --type luks1 <device_path> を使用して LUKS2 デバイスを LUKS1 デバイスに変換します これらの両方をテストしましたが、動作します。
現在のバージョンの cryptsetup は、LUKS2 デバイスの直接復号化をサポートしていると主張しています。このコマンドは cryptsetup --reencrypt --decrypt --header HEADER_FILE <device_path> です . --header コマンドはデバイスがデタッチされたヘッダーを使用することを前提としているため、引数が必要です。もしそうなら、それは機能し、オンラインで復号化を行うことさえできます.デタッチされたヘッダーを使用せず (非常に一般的)、ヘッダーのダンプを提供するか、ブロックデバイス自体を --header として渡そうとする場合 値、cryptsetup 静かに進行し、完了すると、キースロットのない LUKS2 デバイスになり、データは失われます.これはバージョン 2.3.3 (2020) の時点であり、将来のバージョンで変更される可能性があります.
私の推奨は、より安全な LUKS2->LUKS1->Decrypt パスを使用することです.