Cryptsetup é uma ferramenta de criptografia utilizada em sistemas Linux para criar e gerenciar volumes criptografados.
LUKS (Linux Unified Key Setup) é um padrão de criptografia de disco completo usado pelo Cryptsetup para fornecer criptografia de dados em nível de bloco em sistemas Linux. Ele permite criar e gerenciar volumes criptografados, fornecendo autenticação de senha, chaves ou tokens de segurança. O LUKS também suporta o uso de múltiplas chaves e permite a troca ou adição de chaves sem a necessidade de recriptografar todo o volume.
Cryptsetup é a ferramenta utilizada para configurar e gerenciar a criptografia de discos, e LUKS é o formato e padrão de criptografia utilizado pelo Cryptsetup para criar volumes criptografados. O LUKS define a estrutura e os métodos de autenticação usados pelo Cryptsetup para proteger os dados em um disco ou partição.
O termo “padrão” refere-se a uma especificação ou formato amplamente aceito e utilizado para implementar a criptografia. No caso do LUKS, é um padrão que define a estrutura, os algoritmos criptográficos e os métodos de autenticação que são seguidos pelo Cryptsetup ao criar e gerenciar volumes criptografados. Isso garante compatibilidade e interoperabilidade entre diferentes sistemas e ferramentas que suportam o padrão LUKS.
Adicionando Senhas com Cryptsetup
luks oferece até 8 slots de senha (=múltiplas senhas que são válidas ao mesmo tempo).Instalando o Linux eu enfrento o problema
Presumindo que a partição seja /dev/sda3
Se você não souber o nome, poderá listar todas as partições com lsblk -f.
Adicione um novo slot de senha:
sudo cryptsetup luksAddKey /dev/sda3- O próximo slot de senha livre será usado
- Primeiro, ele solicitará uma senha válida existente; depois disso, você deverá inserir a nova senha.
A senha antiga também permanecerá válida.
Se você quiser adicionar um arquivo de chave (em vez de uma senha), seria
sudo cryptsetup luksAddKey /dev/sda3 MyKeyFile.txtRemover um slot de senha:
- Possibilidade 1:
sudo cryptsetup luksRemoveKey /dev/sda3
=> Você deve digitar a senha que deseja excluir (encontrará automaticamente o slot de senha correto) - Possibilidade 2:
sudo cryptsetup luksKillSlot /dev/sda3 2
=> Isso excluirá o slot de senha 2 (você deve inserir a senha de qualquer outro slot de senha, mas não do slot 2
=> Isso funciona mesmo se você não souber a senha do slot 2 - Possibilidade 3:
sudo cryptsetup luksRemoveKey --key-file MyKeyFile.txt /dev/sda3
=> Remove o arquivo de chaveMyKeyFile.txtse for válido
Veja quantos slots estão ativos:
sudo cryptsetup luksDump /dev/sda3
Isso irá mostrar todas as configurações de luks para esta partição.
Teste se uma senha é válida para a partição:
sudo cryptsetup open --verbose --test-passphrase /dev/sda3
Agora você pode digitar uma senha e ele dirá se ela está errada ou a qual slot de senha ela pertence.
Se você quiser testar se um KeyFile é válido, funciona assim:sudo cryptsetup open --verbose --test-passphrase --key-file MyKeyFile.txt /dev/sda3
Faça backup do cabeçalho de uma partição luks:
sudo cryptsetup luksHeaderBackup /dev/sda3 --header-backup-file MyLuksHeader.datsudo chmod +r MyLuksHeader.dat
Isso criará um arquivo de 16 MB.
Isso é muito importante para economizar. Se o cabeçalho estiver danificado, todos os dados serão perdidos sem um backup!
Liste todos os sistemas de arquivos criptografados:
sudo cat /etc/crypttab
Se precisar de mais ajuda, você pode digitar man cryptsetup.
Comment on “LUKS: Como posso adicionar mais slots de senha (ou remover/alterar uma senha)”