Vlákno názorů ke zprávičce Zranitelnost LUKS 2.2.0 a novějších, disk jde rozšifrovat bez hesla od kamui - Mám zašifrované disky pomocí verze 2.2.2. Je po...

Mám zašifrované disky pomocí verze 2.2.2. Je po nainstalování opravené verze nutno nějak manuálně aktualizovat hlavičky, nebo se to udělá samo?

Žádná aktualizace hlavičky není nutná, mění se pouze formát metadat pro probíhající reencryption operaci. Tj. pokud si teď pustíte cryptsetup reencrypt --decrypt tak se s novou verzí cryptsetupu zapíší do hlavičky nová metadata, nic dalšího se nemění.

Ahoj, bud sa stracam, alebo tomu len nerozumiem.
cryptsetup reencrypt co je preferovana metoda oproti "alternative" cryptsetup-reencrypt commandline prikazu by --decrypt znemanlo: Remove encryption (decrypt already encrypted device and remove LUKS header). WARNING: This is destructive operation and cannot be reverted. Cize kompletne zrusim LUKS co nechcem.


$ sudo cryptsetup-reencrypt --decrypt container.img
$ cryptsetup luksDump container.img
Device container.img is not a valid LUKS device.


Ci?

cryptsetup reencrypt -- změna paramterů šifrování (např. změna šifry nebo master klíče)

cryptsetup reencrypt --decrypt -- dešifrování aktuálně zašifrovaného zařízení

cryptsetup reencrypt --encrypt -- zašifrování aktuálně nešifrovaného zařízení

Všechny tři tyhle akce si zapíší metadata do LUKS hlavičky, aby v případě přerušení šlo tu operaci obnovit a <b>jen tahle metadata</b> se mění (jsou nově podepsaná, aby nešlo podvhrnout probíhající dešifrování). Tj. není třeba nic dělat, v LUKS hlavičce jako takové se nic nemění a pokud si s novým cryptsetupem některou z těch operací pustíte, tak se použijí nová reencryption metadata.