パスワードとキーファイルで保護されたluks暗号化パーティションがあります。鍵ファイルは毎日アクセスするためのもので、パスワードは緊急用に封印された封筒に入っています。 5月が過ぎて誤って鍵ファイルを破砕して封筒にあるパスワードを利用して復旧しました。これで、2つのアクティブなキースロットがあり、どのスロットに役に立たないキーファイルのパスワードが含まれていて、どのスロットに緊急パスワードが含まれているかわかりません。明らかに間違ったものを削除すると、ドライブ上のすべてのデータが失われます。
#cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 256
MK digest: xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
MK salt: xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
MK iterations: 371000
UUID: 28c39f66-dcc3-4488-bd54-11ba239f7e68
Key Slot 0: ENABLED
Iterations: 2968115
Salt: xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 2968115
Salt: xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
Key material offset: 264
AF stripes: 4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
ベストアンサー1
見つけたように、cryptsetup luksDumpどのキースロットにキーがあるかを確認できます。
次のコマンドを使用して、特定のスロットのパスワードを確認できます。
cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/sda2 && echo correct
これは、キースロット0に正しいパスワードを入力すると成功し、それ以外の場合は失敗します(他のキースロットの1つにパスワードが正しい場合を含む)。
パスワードの1つを忘れた場合は、削除によってのみそのパスワードの場所を知ることができますが、パスワードの2つを忘れた場合はどちらが何であるかわかりません(それ以外の場合はパスワードハッシュが破損します)。
忘れたパスワードを削除するには、Safeを実行してcryptsetup luksKillSlot /dev/sda2 0覚えているパスワードを入力してください。キースロットを初期化するには、cryptsetup少なくともバッチモードで実行されない場合(たとえば、なし--batch-modeまたは--key-file=-同等のオプション)、他のキースロットのパスワードが必要です。