Todas as postagens que encontrei sobre recuperação de dados criptografados referem-se a situações específicas. Atualmente tenho partições e diretórios funcionais, mas gostaria de maximizar minhas chances de recuperar dados caso algo dê errado (além dos meus backups). Quais informações (como chaves, senhas, configuração, etc.) devo manter no armazenamento frio, dada a configuração a seguir?
O root do Ubuntu é instalado em uma unidade criptografada por LUKS. Eu tenho um segundo HDD que também é criptografado pelo LUKS e está configurado para ser montado automaticamente no login. Além disso, meu diretório inicial é montado com ecryptfs.
Eu sei que para ecryptfs eu deveria armazenar a saída de ecryptfs-unwrap-passphrase, mas o que deve ser feito para cada uma das partições LUKS? Lembro-me vagamente de que existe alguma outra senha que deve ser armazenada caso informações específicas do cabeçalho da partição sejam corrompidas.
Obrigado pela ajuda. Além disso, caso alguém esteja interessado em armazenamento refrigerado, pretendo simplesmente criar códigos QR de nível H (alta correção de erros) para imprimir em papel junto com os dados reais como texto.
Responder1
Execute ecryptfs-unwrap-passphrase na tela do terminal e anote a saída para recuperação de desastres.
- digite ecryptfs-unwrap-passphrase na tela do terminal
- ele solicitará "Senha:", ele deseja sua senha de login de usuário
- A saída será semelhante a este exemplo "1b6acbada5e3a61ebe324a4745e61ba8" a saída de 32 caracteres é a sua "frase secreta" que você precisa anotar e armazenar em um local seguro.
Para recuperar seus dados no futuro siga este guia.
http://www.howtogeek.com/116297/how-to-recover-an-encrypted-home-directory-on-ubuntu/
Responder2
Para LUKS, os únicos dados críticos para a descriptografia são o cabeçalho LUKS. O cabeçalho pode ser copiado em um arquivo cryptsetup luksHeaderBackupe restaurado com a extensão cryptsetup luksHeaderRestore. Ver man cryptsetup:
luksHeaderBackup <device> --header-backup-file <file>Armazena um backup binário do cabeçalho LUKS e da área do keylot.
Nota: Usar '-' como nome de arquivo grava o backup do cabeçalho em um arquivo chamado '-'.
AVISO: Este arquivo de backup e uma senha válida no momento do backup permitem a descriptografia da área de dados LUKS, mesmo que a senha tenha sido posteriormente alterada ou removida do dispositivo LUKS. Observe também que, com um backup de cabeçalho, você perde a capacidade de limpar com segurança o dispositivo LUKS, apenas substituindo o cabeçalho e os slots de chave. Você também precisa apagar com segurança todos os backups de cabeçalho ou substituir também a área de dados criptografados. A segunda opção é menos segura, pois alguns sectores podem sobreviver, por exemplo, devido à gestão de defeitos.
luksHeaderRestore <device> --header-backup-file <file>Restaura um backup binário do cabeçalho LUKS e da área do slot de chave do arquivo especificado.
Nota: Usar '-' como nome de arquivo lê o backup do cabeçalho de um arquivo chamado '-'.
AVISO: O cabeçalho e os keylots serão substituídos, somente as senhas do backup funcionarão posteriormente.
Este comando requer que o tamanho da chave mestra e o deslocamento de dados do cabeçalho LUKS já no dispositivo e do backup do cabeçalho correspondam. Alternativamente, se não houver cabeçalho LUKS no dispositivo, o backup também será gravado nele.