Детемін, який любить прокласти фразу фрази

У мене є зашифрований луком розділ, захищений парольною фразою та файлом ключів. Файл ключів був для рутинного доступу, а парольна фраза містила герметичний конверт для надзвичайних ситуацій. Минули травневі місяці, і я випадково подрібнив файл ключів, тому я відновився, використовуючи парольну фразу з конверта. Тепер я хочу знати, у мене є два активних слота для ключів, але я не знаю, який містить марну фразу пропуску ключових файлів і в якій є моя екстрена парольна фраза. Очевидно, якщо я видалю неправильний, я втрачу всі дані на диску.

#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        256
MK digest:      xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK salt:        xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
MK iterations:  371000
UUID:           28c39f66-dcc3-4488-bd54-11ba239f7e68

Key Slot 0: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: ENABLED
        Iterations:             2968115
        Salt:                   xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
                                xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 
        Key material offset:    264
        AF stripes:             4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Як ви виявили, ви можете cryptsetup luksDumpбачити, які ключові слоти мають ключі.

Ви можете перевірити пароль для конкретного слота за допомогою

cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct

Це досягається успіху, якщо ви введете правильну фразу для ключового слота 0, а в іншому випадку не вдасться (в тому числі, якщо парольна фраза є правильною для іншого ключового слота).

Якщо ви забули один із фразових фраз, то ви можете лише усунути, у якому слоті він знаходиться, усунувши, і якщо ви забули два паролі, то немає способу сказати, що є (інакше хеш-фразу паролі було б зламано).

Щоб видалити забуту парольну фразу, ви можете безпечно запустити cryptsetup luksKillSlot /dev/sda2 0та ввести запам'ятовуваний пароль. Щоб стерти ключовий слот, cryptsetupпотрібна парольна фраза для іншого ключового слота, принаймні, коли він не працює в пакетному режимі (тобто немає --batch-mode, --key-file=-або еквівалентний варіант).

Більш простий спосіб (зараз?) - використовувати команду з --verboseопцією, але не вказуючи --key-slotодин:

# cryptsetup --verbose open --test-passphrase /dev/sda2
Enter passphrase for /dev/sda2: 
Key slot 4 unlocked.

Він автоматично перевірить для вас правильний слот, не замислившись на пошуку хорошого :)