暗号化パスワードを変更するには、次のコマンドを使用できます。
cryptsetup luksChangeKey /dev/sda2
...これはうまくいきます。しかし、/dev/sda2パーティションを新しいパスワードで再暗号化する方法は?
古いパスワードが破損してパスワードのみが変更されると、保存されたデータは新しいパスワードではなく古いパスワードで暗号化されます。
ベストアンサー1
あなたの家は間違っています。
保存されたデータはいいえパスワードで暗号化しますが、複数の(通常8つの)キースロットの1つに保存されているキーを使用してください。あなたのパスワードはこの鍵を暗号化/復号化するためにのみ使用されます。その後、このキーはLUKSコンテナのデータを暗号化/復号化します。このパスワードを変更すると、鍵は新しいパスワードで再暗号化されます。
これはまた、同じLUKSコンテナが同時に有効な最大8つ(またはスロット数に関係なく)の異なるパスワードを持つことができることを意味します。これにより、ユーザーに異なるパスワードを付与し、不要になったときに1つずつキャンセルできます。すべてのキースロットは同じキーを保持しますが、異なるパスワードで暗号化されます。
警告する:重要なのは、パスワードを覚えておくだけでなく、LUKSヘッダもバックアップする必要があることです。そうしないと、LUKS ヘッダー領域にエラーが発生した場合、パスワードを知っていてもデータを再インポートできません。 (しかし、とにかくデータをバックアップする必要があります。)
LUKSディスクフォーマットの詳細を見るここ。
^正しく表現するには、まだ利用可能なキースロットがある場合は、新しく暗号化されたキーをそこに保存して古いスロットを削除してください。