Debian: cryptsetup falha ao desbloquear volume desde o kernel 6.1.0-29

Quando você tiver um problema com um volume criptografado, é altamente recomendável começar clonando o disco para garantir que o problema não piore ainda mais durante a solução de problemas ou recuperação.

Contanto que você consiga abrir o volume com uma das configurações de boot/kernel, você pode ficar bem confiante de que o volume e seu cabeçalho/metadados não estão corrompidos e que o problema está em outro lugar. Considere os seguintes passos para isolar o problema (ou pule alguns deles com base em seu pressentimento):

• Conecte seu dispositivo de armazenamento a outra máquina e tente abrir o volume lá. Dessa forma, você exclui quaisquer problemas relacionados a HW no seu PC original.
• Teste a RAM do seu PC original. O LUKS2 usa criptografia Argon2 por padrão. O Argon2 é "memory-hard" por design para evitar ataques de força bruta usando hardware especializado como GPUs ou ASICs com memória limitada em comparação com CPUs. Como desvantagem, essa propriedade torna o Argon2 suscetível a erros de memória.
• Inicialize a partir de uma imagem de CD ao vivo e tente abrir o volume em um ambiente ao vivo. Dessa forma, você sabe se o volume funciona no seu HW em um ambiente SW "neutro".
• Interrompa o processo de inicialização regular da configuração de inicialização quebrada para que o processo pare antes de desbloquear o volume e deixe você na linha de comando do initramfs. Para fazer isso, entre no menu GRUB, selecione a entrada de inicialização desejada e pressione ea tecla . No modo de edição do GRUB, localize a linha do kernel e anexe breakao final da linha que contém os parâmetros do kernel. Após fazer essa alteração, pressione Ctrl + xou F10para inicializar com os parâmetros modificados.
• Uma vez em initramfs, digite sua senha em um texto claro. Dessa forma, você garante que cryptsetupreceberá a senha correta quando digitá-la.
• Por fim, teste o desbloqueio do volume com sua senha:

Verifique se os metadados LUKS estão presentes:

(initramfs) cryptsetup luksDump /dev/sdXn

"Simular" ( --test-passphrase) a abertura do volume sem realmente desbloqueá-lo e gerar uma informação detalhada de depuração no processo:

(initramfs) cryptsetup --verbose --debug --test-passphrase luksOpen /dev/sdXn

No meu caso, parece que a entrada do teclado gera códigos/caracteres incorretos para algumas teclas. Isso impediu cryptsetupque a senha válida fosse obtida.

A causa raiz é que eu fiz uma personalização no meu layout de teclado adicionando caracteres de 3º nível com diacríticos (o chamado layout de teclado "programador") como uma nova variante de teclado e o configurei em /etc/default/keyboard. Porque initramfsusa /etc/default/keyboardmuito, mas por algum motivo não interpreta corretamente nem mesmo caracteres de 1º e 2º nível não modificados do uslayout personalizado, o processo de inicialização foi interrompido após a próxima atualização do kernel quando initramfsa configuração foi regenerada.

Ironicamente, /etc/default/keyboardnão afeta a configuração do teclado do meu sistema totalmente inicializado. Portanto, o problema foi totalmente resolvido atualizando /etc/default/keyboarde regenerando initramfsa configuração comsudo update-initramfs -u -k $(uname -r)