Come modificare la passphrase LUKS in Linux

Come modificare la passphrase di crittografia del disco LUKS in Linux

Innanzitutto, dobbiamo individuare le informazioni sui file system crittografati.

Passaggio 1: eseguire una query sul file / etc / crypttab su Linux

Il file / etc / crypttab contiene informazioni descrittive sui file system crittografati LUKS e visualizza con il comando cat:
sudo cat /etc/crypttab
Ecco cosa ho visto:

sda3_crypt UUID=42e50ed0-5055-45f5-b1fc-0f54669e6d1f none luks,discard>

Quindi ho sda3_crypt. Sul tuo sistema potresti vedere un nome diverso come md1_crypt per la crittografia del disco LUKS con protezione RAID-1. Ora abbiamo ottenuto le informazioni sul dispositivo ed è ora di trovare lo schema della partizione per sda3:
sudo fdisk -l /dev/sda
/ dev / sda3:

Disk /dev/sda: 931.5 GiB, 1000204886016 bytes, 1953525168 sectors
Disk model: CT1000MX500SSD1 
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: 1BB1DDD0-47F9-48FB-AA29-69D6A74F4D91

Device       Start        End    Sectors   Size Type
/dev/sda1     2048    1050623    1048576   512M EFI System
/dev/sda2  1050624    1550335     499712   244M Linux filesystem
/dev/sda3  1550336 1953523711 1951973376 930.8G Linux filesystem

Assicurati di sostituire / dev / sda3 con il nome effettivo del tuo dispositivo su Linux.

Passaggio 2: eseguire il dump delle informazioni di intestazione di un dispositivo LUKS

Esegui il seguente comando per ottenere informazioni sul nostro / dev / sda3 crittografato:
sudo cryptsetup luksDump /dev/sda3
Informazioni sull’intestazione del mio disco / partizione LUKS:

LUKS header information
Version:       	2
Epoch:         	4
Metadata area: 	16384 [bytes]
Keyslots area: 	16744448 [bytes]
UUID:          	42e50ed0-5055-45f5-b1fc-0f54669e6d1f
Label:         	(no label)
Subsystem:     	(no subsystem)
Flags:       	(no flags)

Data segments:
  0: crypt
	offset: 16777216 [bytes]
	length: (whole device)
	cipher: aes-xts-plain64
	sector: 512 [bytes]

Keyslots:
  0: luks2
	Key:        512 bits
	Priority:   normal
	Cipher:     aes-xts-plain64
	Cipher key: 512 bits
	PBKDF:      argon2i
	Time cost:  7
	Memory:     1048576
	Threads:    4
	Salt:       fc 9d b7 e0 ec 06 d0 b1 47 09 61 6f c1 73 f9 51 
	            b7 ff 9b 6b 44 a0 2b c5 dd 5a c4 7e 46 28 c3 62 
	AF stripes: 4000
	AF hash:    sha256
	Area offset:32768 [bytes]
	Area length:258048 [bytes]
	Digest ID:  0
Tokens:
Digests:
  0: pbkdf2
	Hash:       sha256
	Iterations: 136107
	Salt:       40 82 65 fc cf e1 24 d3 0d b8 85 07 13 c7 dd a1 
	            03 52 6a b9 04 b8 6d 23 4a d1 90 89 cb 96 a7 ca 
	Digest:     5b d0 10 56 e4 9a ff e1 eb 14 2a fb 4d 85 ba c3 
	            a7 75 fa fa 6c 24 cc 01 b0 9c 34 dd 48 98 1a d9 

Sembra che io abbia solo lo slot 0, ma su molti sistemi potresti vedere fino a 8 slot numerati da 0 a 7. Quindi nel passaggio # 3 vedremo come determinare il tuo slot LUKS.

Passaggio 3: scoprire lo slot LUKS assegnato dall’amministratore di sistema o dall’installatore di Linux

Per determinare in quale slot luks si trova una passphrase su Linux, eseguire:
sudo cryptsetup --verbose open --test-passphrase /path/to/dev/
sudo cryptsetup --verbose open --test-passphrase /dev/sda3
Il comando ti dirà lo slot LUKS corretto senza alcuna supposizione da parte tua:

Enter passphrase for /dev/sda3: 
Key slot 0 unlocked.
Command successful.

Annotare il numero di slot. In altre parole, dobbiamo usare il numero di slot 0 per / dev / sda3.

Passaggio 4: modifica della passphrase di crittografia del disco LUKS in Linux utilizzando la riga di comando

Finora, tutto bene, abbiamo ottenuto tutte le informazioni necessarie per l’aggiornamento o la modifica o la passphrase esistente. Si noti che una passphrase è simile a una password in uso, ma in genere è più lunga per motivi di sicurezza. La sintassi è:
sudo cryptsetup luksChangeKey /dev/sda3 -S 0
Per prima cosa, inserisci la passphrase esistente e premi il tasto [Enter] chiave. Se la passphrase è corretta, è possibile modificarla inserendola due volte come segue:

Enter passphrase to be changed: 
Enter new passphrase: 
Verify passphrase: 

Passaggio 5: verifica la nuova passphrase

Riavviare il sistema Linux o simulare una nuova passphrase sulla CLI come segue:
sudo cryptsetup --verbose open --test-passphrase /dev/sda3

Utilizzo dello strumento GUI “Dischi e archiviazione” per modificare la passphrase

I nuovi sviluppatori e utenti Linux potrebbero trovare complicata l’intera riga di comando. Fortunatamente, gli utenti desktop Linux possono saltare tutti i passaggi complicati e utilizzare direttamente l’utilità Disco e archiviazione.

Saluta gnome-disks, l’applicazione GNOME Disks

Gnome-disks è il comando per avviare l’applicazione GNOME Disks. Dischi fornisce un modo per ispezionare, formattare, partizionare e configurare dischi e dispositivi di blocco. Apri l’applicazione Terminale e quindi digita:
$ gnome-disks
Possiamo anche aprire Dischi app dal Attività GUI panoramica. Una volta aperto, scegli il disco dall’elenco nel riquadro di sinistra e assicurati di selezionare LUKS. Fare clic sull’opzione della partizione aggiuntiva e fare clic su Cambia passphrase:

Come modificare la passphrase / password di crittografia LUKS utilizzando la GUI dei dischi

Riassumendo

Abbiamo spiegato i metodi GUI e CLI per l’aggiornamento o la sostituzione della passphrase di crittografia del disco LUKS esistente sul tuo sistema Linux. Tieni presente che abbiamo modificato solo la passphrase assegnata al tuo slot. LUKS ha anche la chiave principale e non può essere modificata senza ricodificarla. La chiave master viene utilizzata per decrittografare i dati del contenitore LUKS senza una passphrase e anche senza l’intestazione LUKS. In altre parole, se la chiave principale è compromessa, l’intero dispositivo deve essere cancellato per impedire ulteriori accessi. Ti consiglio vivamente di leggere la documentazione LUKS online o la pagina man digitando il seguente comando man:
$ man cryptsetup
$ man crypttab