Todas las publicaciones que puedo encontrar sobre la recuperación de datos cifrados se refieren a situaciones específicas. Actualmente tengo particiones y directorios en funcionamiento, pero me gustaría maximizar mis posibilidades de recuperar datos en caso de que algo salga mal (además de mis copias de seguridad). ¿Qué información (como claves, frases de contraseña, configuración, etc.) debo mantener en almacenamiento en frío dada la siguiente configuración?
La raíz de Ubuntu está instalada en una unidad cifrada con LUKS. Tengo un segundo disco duro que también está cifrado con LUKS y está configurado para montarse automáticamente al iniciar sesión. Además, mi directorio de inicio está montado con ecryptfs.
Sé que para ecryptfs debería almacenar la salida de ecryptfs-unwrap-passphrase, pero ¿qué se debe hacer para cada una de las particiones LUKS? Recuerdo vagamente que hay alguna otra frase de contraseña que debería almacenarse en caso de que la información del encabezado de una partición particular esté dañada.
Gracias por tu ayuda. Además, si alguien está interesado en el almacenamiento en frío, planeo simplemente crear códigos QR de nivel H (alta corrección de errores) para imprimir en papel junto con los datos reales como texto.
Respuesta1
Ejecute ecryptfs-unwrap-passphrase en la pantalla del terminal y escriba el resultado para la recuperación ante desastres.
- escriba ecryptfs-unwrap-passphrase en la pantalla del terminal
- Le solicitará "Frase de contraseña:", quiere su contraseña de inicio de sesión de usuario.
- El resultado se verá como este ejemplo "1b6acbada5e3a61ebe324a4745e61ba8". El resultado de 32 caracteres es su "frase de contraseña" que debe escribir y almacenar en un lugar seguro.
Para recuperar sus datos en el futuro siga esta guía.
http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/
Respuesta2
Para LUKS, el único dato crítico para el descifrado es el encabezado de LUKS. Se puede hacer una copia de seguridad del encabezado en un archivo cryptsetup luksHeaderBackupy restaurarlo con cryptsetup luksHeaderRestore. Ver man cryptsetup:
luksHeaderBackup <device> --header-backup-file <file>Almacena una copia de seguridad binaria del encabezado LUKS y del área de ranura de claves.
Nota: El uso de '-' como nombre de archivo escribe la copia de seguridad del encabezado en un archivo llamado '-'.
ADVERTENCIA: Este archivo de copia de seguridad y una frase de contraseña válida en el momento de la copia de seguridad permiten el descifrado del área de datos de LUKS, incluso si la frase de contraseña se cambió o eliminó posteriormente del dispositivo LUKS. También tenga en cuenta que con una copia de seguridad del encabezado pierde la capacidad de borrar de forma segura el dispositivo LUKS simplemente sobrescribiendo el encabezado y las ranuras para llaves. Además, debe borrar de forma segura todas las copias de seguridad de los encabezados o sobrescribir también el área de datos cifrados. La segunda opción es menos segura, ya que algunos sectores pueden sobrevivir, por ejemplo gracias a la gestión de defectos.
luksHeaderRestore <device> --header-backup-file <file>Restaura una copia de seguridad binaria del encabezado LUKS y el área de ranura de claves del archivo especificado.
Nota: El uso de '-' como nombre de archivo lee la copia de seguridad del encabezado de un archivo llamado '-'.
ADVERTENCIA: Se reemplazarán el encabezado y las ranuras de claves, después solo funcionarán las frases de contraseña de la copia de seguridad.
Este comando requiere que el tamaño de la clave maestra y el desplazamiento de datos del encabezado LUKS que ya está en el dispositivo y de la copia de seguridad del encabezado coincidan. Alternativamente, si no hay un encabezado LUKS en el dispositivo, la copia de seguridad también se escribirá en él.