LUKSヘッダが修正されましたか？ [閉鎖]

LUKSヘッダーには実行コードは含まれておらず、LUKSパーティションマスターキーの暗号化されたコピーが1つ以上含まれています。設定された各パスワード/キーファイル/その他のアクセス方法は、暗号化されたディスクにアクセスするために必要なマスターキーのコピーを復号化します。 LUKS パスワードは、「暗号解読のために LUKS ヘッダーに送信」されません。代わりに、cryptsetup luksOpen次のコマンドを実行します。読むLUKSヘッダーをコピーし、パスワードを使用してメモリから復号化します。

ハッカーがLUKSヘッダーの変更に成功した場合、これはハッカー（またはハッキングツール）がすでにLUKSパスワードを知っているという意味に近いです。これはLUKSヘッダーを壊さずに正常に修正する必要があるためです。

考えられるシナリオの1つは、ハッカーがcryptsetupルートパーティションのinitramfsファイルに通常のコマンドを置き換えるために変更されたコマンドを追加したことです。変更されたコマンドはcryptsetup通常のコマンドと同様にLUKSパスワードを要求しますが、ディスクのロックを解除することに加えて、LUKSパスワードは次のとおりです。再起動しました。 - 攻撃者が知っている別のパスワードを使用してLUKSパーティションのマスターキーを暗号化し、それをLUKSヘッダーの空きスロットの1つに保存します。あるいは、暗号化されたLUKSパーティションの外側の隠された場所に暗号化されていないマスターキーを保存することもできます。変更されたファイルは、cryptsetupブートパーティションの変更されたinitramfsファイルを元のファイルに置き換えて、正確に何が起こったのかを検出するのが難しくなります。

cryptsetup luksDump人間が読める形式でLUKSヘッダーの内容を表示するために使用できます。予想よりも多くのキースロットが使用されている場合は、cryptsetup luksKillSlotそのスロットに関連付けられているパスワードがわからない場合でも、承認されていないキースロットの無効化を使用できます。このコマンドを慎重に使用してください。このコマンドを誤って使用すると、暗号化されたディスクがロックされる可能性があります。