Alle Beiträge, die ich zur Wiederherstellung verschlüsselter Daten finden kann, beziehen sich auf bestimmte Situationen. Ich habe derzeit funktionierende Partitionen und Verzeichnisse, möchte aber meine Chancen auf Datenwiederherstellung maximieren, falls etwas schief geht (zusätzlich zu meinen Backups). Welche Informationen (wie Schlüssel, Passphrasen, Konfiguration usw.) sollte ich bei folgendem Setup im Cold Storage aufbewahren?
Ubuntu Root ist auf einem LUKS-verschlüsselten Laufwerk installiert. Ich habe eine zweite Festplatte, die ebenfalls LUKS-verschlüsselt ist und so eingerichtet ist, dass sie beim Anmelden automatisch gemountet wird. Zusätzlich ist mein Home-Verzeichnis mit ecryptfs gemountet.
Ich weiß, dass ich für ecryptfs die Ausgabe von ecryptfs-unwrap-passphrase speichern sollte, aber was sollte für jede der LUKS-Partitionen getan werden? Ich erinnere mich vage, dass es eine andere Passphrase gibt, die gespeichert werden sollte, falls bestimmte Partitionsheaderinformationen beschädigt sind.
Danke für Ihre Hilfe. Nebenbei bemerkt, falls jemand Interesse an der Kaltlagerung hat, plane ich, einfach QR-Codes der Stufe H (hohe Fehlerkorrektur) zum Ausdrucken auf Papier zusammen mit den eigentlichen Daten als Text zu erstellen.
Antwort1
Führen Sie ecryptfs-unwrap-passphrase auf dem Terminalbildschirm aus und notieren Sie die Ausgabe zur Notfallwiederherstellung.
- Geben Sie ecryptfs-unwrap-passphrase in den Terminalbildschirm ein
- Sie werden mit "Passphrase:" aufgefordert, Ihr Benutzer-Login-Passwort einzugeben
- Die Ausgabe sieht beispielsweise wie folgt aus: „1b6acbada5e3a61ebe324a4745e61ba8“. Die 32 Zeichen umfassende Ausgabe ist Ihre „Passphrase“, die Sie aufschreiben und an einem sicheren Ort aufbewahren müssen.
Befolgen Sie diese Anleitung, um Ihre Daten in Zukunft wiederherzustellen.
http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/
Antwort2
Bei LUKS sind die einzigen Daten, die für die Entschlüsselung kritisch sind, der LUKS-Header. Der Header kann mit in einer Datei gesichert cryptsetup luksHeaderBackupund mit wiederhergestellt werden cryptsetup luksHeaderRestore. Siehe man cryptsetup:
luksHeaderBackup <device> --header-backup-file <file>Speichert eine binäre Sicherung des LUKS-Headers und des Keyslot-Bereichs.
Hinweis: Wenn Sie „-“ als Dateinamen verwenden, wird die Header-Sicherungskopie in eine Datei mit dem Namen „-“ geschrieben.
ACHTUNG: Diese Backup-Datei und eine zum Zeitpunkt des Backups gültige Passphrase ermöglichen die Entschlüsselung des LUKS-Datenbereichs, selbst wenn die Passphrase später geändert oder vom LUKS-Gerät entfernt wurde. Beachten Sie auch, dass Sie mit einem Header-Backup die Möglichkeit verlieren, das LUKS-Gerät sicher zu löschen, indem Sie einfach den Header und die Schlüssel-Slots überschreiben. Sie müssen entweder zusätzlich alle Header-Backups sicher löschen oder auch den verschlüsselten Datenbereich überschreiben. Die zweite Option ist weniger sicher, da einige Sektoren überleben können, z. B. aufgrund von Defektmanagement.
luksHeaderRestore <device> --header-backup-file <file>Stellt eine binäre Sicherung des LUKS-Headers und des Keyslot-Bereichs aus der angegebenen Datei wieder her.
Hinweis: Wenn Sie „-“ als Dateinamen verwenden, wird die Header-Sicherung aus einer Datei mit dem Namen „-“ gelesen.
ACHTUNG: Header und Keyslots werden ersetzt, danach funktionieren nur noch die Passphrasen aus dem Backup.
Dieser Befehl erfordert, dass die Hauptschlüsselgröße und der Datenoffset des bereits auf dem Gerät vorhandenen LUKS-Headers und des Header-Backups übereinstimmen. Alternativ wird das Backup auch auf das Gerät geschrieben, wenn kein LUKS-Header auf dem Gerät vorhanden ist.