如何删除LUKS加密?


12

我尝试使用以下命令删除主目录上的LUKS加密:

cryptsetup luksRemoveKey /dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd

但这给了我一个错误:

设备/ dev / mapper / luks-3fd5-235-26-2625-2456f-4353fgdgd不是有效的LUKS设备。

不解,我尝试了以下方法:

cryptsetup status luks-3fd5-235-26-2625-2456f-4353fgdgd

它说:

/dev/mapper/luks-3fd5-235-26-2625-2456f-4353fgdgd is active and is in use.
type: LUKS1
cipher: ...

似乎加密的设备处于活动状态,但无效。这有什么问题吗?

Answers:


14
  • 后备
  • 重新格式化
  • 恢复

cryptsetup luksRemoveKey如果您拥有多个加密密钥,则只会删除该密钥。加密仍将在那里。

Fedora Installation_Guide C.5.3节解释了如何luksRemoveKey工作。

在保留内容的同时删除加密是“不可能的”,这仅仅是有根据的猜测。我基于两件事:

  • 由于LUKS容器在其上具有文件系统或LVM或其他内容,因此仅删除加密层将需要了解存储在其上的数据的含义,而这是根本不可用的。同样,要求的是用解密后的副本覆盖LUKS卷的一部分,而不会破坏其余的LUKS内容,我不确定是否可以这样做。
  • 实施它可以解决一个与LUKS的目的相去甚远的问题,而且我发现有人不太可能花时间去做而不是更“有意义”的事情。

你怎么知道的?有参考吗?
问题溢流时间

添加了对《 Fedora安装指南》的引用,以及为什么我相信备份还原是从全盘加密到不加密的唯一选择。
MattBianco

7

首先,从LUKS分区中删除密码短语时,您需要指定其所在的磁盘分区,例如:

cryptsetup luksRemoveKey /dev/sda2

而且,当您希望从LUKS加密的设备获取状态时,需要像以前一样引用LUKS名称。

但是luksRemoveKey仅删除其中一个密码短语(而不会删除最后一个)。如果要永久解密,则必须使用cryptsetup-reencrypt:

cryptsetup-reencrypt --decrypt /dev/sda2

FWIW,对于LUKS 2设备,cryptsetup具有reencrypt子命令。
maxschlepzig
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.