LUKS header и lvm на загрузочном компьютере

Question

Я пытаюсь добиться отрицания LUKS на компьютере Debian, но я застрял. Я установил Debian на компьютер и отформатировал hd следующим образом:

• sda полностью заполнена разделом sda1, который является LUKS
• внутри этого контейнера LUKS (sda1) есть группа lvm с 3 томами: корень, дом и своп
• sdb1 - это /boot (незашифрованный раздел) (на съемной флешке)

Теперь я хочу "переместить" заголовок LUKS для достижения отрицания. Поэтому я делаю резервную копию заголовка на флешке (на initramfs):

cryptsetup luksHeaderBackup /dev/sda1 --header-backup-file /etc/luks_header/sda1-header-backup

Я подключил скрипт, чтобы поместить заголовок, доступный через initramfs, в /usr/share/initramfs-tools/hooks/ чтобы создать /etc/luks_header и скопировать заголовок. Затем я изменил /etc/crypttab образом:

sda1_crypt UUID=xxx-xxx-xxx-xx none luks,header=/etc/luks_header/sda1-header-backup

Так что теперь я должен загрузиться с /sdb1 . И расшифровка выполняется с заголовком LUKS в /etc/luks_header/ (из initramfs).

Затем, чтобы закончить отрицание, мне нужно стереть заголовок LUKS sda1:

dd if=/dev/urandom of=/dev/sda1 bs=2M count=1

(Размер заголовка составляет 2 МБ и начинается в секторе 0.) Но когда я пытаюсь загрузиться, подсказка говорит мне, что у него проблема с lvm.

Я полагаю, что это потому, что я уничтожил что-то после заголовка, поэтому я уменьшил свою запись с помощью dd до 1 МБ, но у меня все та же проблема. Я думал, что только коснулся заголовка (который не должен быть прочитан благодаря crypttab), но я ошибаюсь. Кто-нибудь может мне это объяснить?

На сайтах я нашел дополнительную информацию о:

• Спецификация формата LUKS на диске версия 1.1.1
• Правдоподобная отрицательность с LUKS

Answer 1

UUID на этих 2Mbs тоже.

Вы не можете обратиться к диску через UUID, который вы перезаписали случайными байтами. Вам нужно будет обратиться к диску по имени ядра диска / раздела. Если вам необходимо сменить аппаратное обеспечение и сохранить ссылки в /etc/crypttab и /etc/fstab чтобы вы могли получить лучшее имя диска, то есть не зависящую от ядра загрузочную процедуру, такую как /dev/sdb , из /sys/devices/pci* .

Extra (актуально для информационной безопасности)

Обратите внимание, что Арно Вагнер, текущий разработчик cryptsetup/LUKS, выступает против вероятного отрицания:

[шифрование без LUKS] имеет ограниченную ценность для властей. В цивилизованных странах они не могут заставить вас отказаться от крипто-ключа в любом случае. Во многих странах мира они могут заставить вас отказаться от ключей (используя тюремное заключение или что-то еще, чтобы оказать на вас давление, иногда без надлежащей правовой процедуры), и в худшем случае им нужно только туманное "подозрение" в отношении присутствия. зашифрованных данных. Иногда это относится ко всем, иногда только тогда, когда вас подозревают в наличии "незаконных данных" (определение может быть изменено), а иногда конкретно при пересечении границы. Обратите внимание, что это происходит в таких странах, как США и Великобритания, в разной степени, а иногда и с судами, ограничивающими то, что власти могут фактически требовать.

Это цитата из часто задаваемых вопросов по Cryptsetup Arno (разделы 2.4 и 5.8)

Но также отметить, что правдоподобное отрицанием является весьма дискуссионной темой. Например, см. Действительно ли вероятное отрицание реально выполнимо для зашифрованных томов / дисков?