Как гласит заголовок, мне нужно знать, существует ли метод для добавления ключа, который не требует от пользователя повторного ввода пароля / предоставления файла ключа для уже открытого тома luks. Я действительно должен был бы реализовать это, чтобы пример был оценен.
2 ответа
0
Нет, не разумно, но противник мог.
Средство cryptsetup работает с самим зашифрованным томом, независимо от того, открыто оно в данный момент или нет. Необходимо извлечь ключ громкости из тома; для этого ему нужен способ декодирования одного из существующих слотов ключей (кодовой фразы или ключевого файла), или же вам нужно передать его голой клавишей громкости (которую вы почти не будете лежать без дела).
Если том смонтирован, то ядро имеет ключ громкости в памяти. Но неудивительно, что он не предоставляет интерфейс для его извлечения.
Вы можете написать и загрузить модуль ядра, который извлекает ключ громкости (я думаю, вам придется перепрыгивать через обручи, но с точки зрения безопасности это тривиально), если загрузка модуля не отключена или не аутентифицирована. Вы можете извлечь ключ из дампа памяти через /dev/kmem , если он не отключен (я ожидаю, что для этого есть готовые инструменты экспертизы, хотя я не могу назвать ни одного). Я думаю это все.
0
Да, вот так:
cryptsetup luksAddKey <DEVICE> --master-key-file <(dmsetup table --showkey /dev/mapper/<MAP> | awk '{print$5}' | xxd -r -p)
Замените <DEVICE> блочным устройством, содержащим раздел LUKS (например, /dev/sda1), а <MAP> - именем сопоставления (например, sda1_crypt).