LUKSマスターキーが一度コピーされた場合、LUKSパスワードを変更しても問題になりますか？

Question

マスターキーはディスクの暗号化に使用されます。他のすべてのキーとパスワードはマスターキーにのみアクセスできます。

その理由は、LUKSパスワードを変更したい場合（または複数のパスワードを使用したい場合）、少量のデータを暗号化または再暗号化するだけです。欠点は、マスターキーが破損した場合、データセット全体が破損することです。

マスターキーはもはや安全ではないので、LUKSパスワードが何であるかはもはや重要ではありません。代わりに、この時点では、LUKSボリューム全体を交換して再構築して、新しいマスターキーがあることを確認する必要があります。また、セキュリティ手順を確認して、以前のマスターキーが元々どのように破損しているかを確認する必要があります。

幸いなことに、cryptsetup-reencryptツールこれを行うことができます。所定の位置にただし、このプロセス中にボリュームをオフラインに切り替えることができます。いつものように、事前にバックアップしておくことをお勧めします。プロットの概要マニュアルページ:

cryptsetup-reencryptディスクデータ全体の変更（再暗号化）が必要な再暗号化パラメータを変更するために使用できます。ボリュームキー（パスワードロック解除によるディスク暗号化に使用される物理キー）、パスワード、パスワードモードを再生成できます。

Answer 1

マスターキーはディスクの暗号化に使用されます。他のすべてのキーとパスワードはマスターキーにのみアクセスできます。

その理由は、LUKSパスワードを変更したい場合（または複数のパスワードを使用したい場合）、少量のデータを暗号化または再暗号化するだけです。欠点は、マスターキーが破損した場合、データセット全体が破損することです。

マスターキーはもはや安全ではないので、LUKSパスワードが何であるかはもはや重要ではありません。代わりに、この時点では、LUKSボリューム全体を交換して再構築して、新しいマスターキーがあることを確認する必要があります。また、セキュリティ手順を確認して、以前のマスターキーが元々どのように破損しているかを確認する必要があります。

幸いなことに、cryptsetup-reencryptツールこれを行うことができます。所定の位置にただし、このプロセス中にボリュームをオフラインに切り替えることができます。いつものように、事前にバックアップしておくことをお勧めします。プロットの概要マニュアルページ:

cryptsetup-reencryptディスクデータ全体の変更（再暗号化）が必要な再暗号化パラメータを変更するために使用できます。ボリュームキー（パスワードロック解除によるディスク暗号化に使用される物理キー）、パスワード、パスワードモードを再生成できます。

LUKSマスターキーが一度コピーされた場合、LUKSパスワードを変更しても問題になりますか？

ベストアンサー1

おすすめ記事