LUKS分離ヘッダーとそのブロックデバイスとの関係を理解しようとしています。私が知っている限り、別々のヘッダーを使った「フォーマット」は実際にそのブロックデバイスの内容を変更せず、開かれたcryptsetup luksOpen()パーティションへの書き込みを開始したときにのみ発生します。
だから私は知りたいです:
- 単一の暗号化パーティションに2つの独立したヘッダーがありますか?たとえば、2 台の異なるコンピュータに断続的に接続するリムーバブルドライブがある場合、2 つのヘッダーコピーを再同期せずに、各コンピュータにヘッダーの独立したコピーを持つことはできますか?
- 2つの別々のドライブに単一のブレークアウトコネクタを使用できますか?たとえば、2つの暗号化されたバックアップドライブがある場合、両方のドライブに単一のヘッダを使用できますか?それともヘッダーが何らかの方法でパーティションに接続されていますか?
ベストアンサー1
これは可能です。 cryptsetupのマニュアルとFAQを読んでみると、これはお勧めできません。しかし、何が起こってもあなたがそれをするのを防ぐことはできません。
必要に応じてヘッダーコピーを使用でき、コピーを変更することもできます。たとえば、あるコピーはパスワードAを使用し、もう一方のコピーはパスワードBを使用します。あるいは、あるコピーはLUKS1形式で、もう一方のコピーはLUKS2形式でも構いません。暗号化自体が変更されない限り、すべてが起こります。欠点は、LUKSヘッダーのコピーをすべて制御しないとパスワードを取り消すことができないことです。
必要な数のドライブに同じヘッダーを使用でき、動作しますが、欠点はすべてまったく同じマスターキーで暗号化されることです。より一般的な方法は、同じパスワードで別のヘッダー(別のマスターキー)を使用することです。たとえば、systemd起動時に同じパスワードを再利用して複数の独立したLUKSコンテナを開くことができます。
LUKSヘッダーは、実際の暗号化キー(LUKSが「マスターキー」と呼ぶもの)と関連するメタデータ(使用するパスワードとデータオフセットなど)を格納する素晴らしい方法です。パーティション名やサイズを記録しないため、制限はありません。 LVM または mdadm メタデータは、これらの点についてもっと面倒です。