Estou tentando entender a relação entre os cabeçalhos destacados do LUKS e seu respectivo dispositivo de bloco. Pelo que entendi, "formatar" com um cabeçalho separado não altera o conteúdo do respectivo dispositivo de bloco, isso só ocorre quando você começa a gravar na cryptsetup luksOpenpartição aberta ( ).
Então gostaria de saber:
- Uma única partição criptografada pode ter dois cabeçalhos independentes. Por exemplo, se eu tivesse uma unidade removível conectada intermitentemente a dois computadores diferentes, cada computador poderia ter sua própria cópia independente do cabeçalho sem a necessidade de sincronizar novamente as duas cópias do cabeçalho.
- Um único cabeçalho destacado pode ser usado para duas unidades separadas. Por exemplo, se eu tivesse duas unidades de backup criptografadas, um único cabeçalho poderia ser usado para ambos ou o cabeçalho de alguma forma está vinculado à partição?
É possível. Se você ler o manual e as perguntas frequentes do cryptsetup, verá que essas coisas são desencorajadas. Mas não há nada em nenhum lugar impedindo você de fazê-lo de qualquer maneira.
Você pode usar quantas cópias do cabeçalho quiser e até mesmo modificar essas cópias, por exemplo, uma cópia usa a senha A, a outra usa a senha B - ou uma pode estar no formato LUKS1 enquanto a outra está no formato LUKS2. Vale tudo, desde que a criptografia em si permaneça inalterada. A desvantagem é que você não pode revogar uma senha se não tiver controle de todas as cópias do cabeçalho LUKS.
Você pode usar o mesmo cabeçalho para quantas unidades quiser, e funcionaria, mas a desvantagem é que todos seriam criptografados usando a mesma chave mestra. É mais comum usar diferentes cabeçalhos (diferentes chaves mestras) talvez com senha idêntica a eles, por exemplo,
systemdsuporta a reutilização da mesma senha para abrir muitos contêineres LUKS independentes na inicialização.O cabeçalho LUKS é apenas uma maneira elegante de armazenar a chave de criptografia real (o que o LUKS chama de "chave mestra") e metadados relacionados (como qual cifra usar e o deslocamento de dados). Ele não grava nomes ou tamanhos de partições, portanto, não há muitas restrições. Metadados LVM ou mdadm são muito mais exigentes sobre essas coisas.