我很久以前像这样加密了一些 DVD:
执行 mkisofs -r $basename | aespipe -e aes256 > $全名
现在我正在尝试解密它们,但我不知道该怎么做了。
加密需要一组不再起作用或不再存在的工具。
我现在如何解密文件?任何想法?
谢谢,
大号
PS我使用的完整方法可能是这样的:
我刚刚将我的 Debian 系统更新为 Bullseye,使用 5.10.0-13-amd64 内核无法再访问我的加密根盘。
我仍然可以使用以前版本的 5.4.0-0.bpo.2-amd64 内核启动。
报告的错误是“错误分配加密 tfm”和“本地加密卷的依赖失败”。
它没有说明依赖是什么。有人怀疑缺少加密模块,但检查 initrd 内容似乎都在那里。
LUKS 标头如下所示:
LUKS header information
Version: 2
Epoch: 4
Metadata area: 16384 [bytes]
Keyslots area: 16744448 [bytes]
UUID: 27d09a50-bc61-473e-8c45-12295f45a319
Label: (no label)
Subsystem: (no subsystem)
Flags: (no flags)
Data segments:
0: crypt
offset: 16777216 [bytes]
length: (whole device)
cipher: aes-xts-plain64
sector: 512 [bytes]
Keyslots:
0: luks2
Key: 512 bits
Priority: normal
Cipher: aes-xts-plain64
Cipher key: 512 bits
PBKDF: argon2i
Time cost: 4
Memory: 735048
Threads: 4
...
initrd 中的加密模块(使用 dracut 构建并包括我强制输入的 cbc.ko)是:
kernel/arch/x86/crypto
kernel/arch/x86/crypto/aesni-intel.ko
kernel/arch/x86/crypto/crc32c-intel.ko
kernel/arch/x86/crypto/crct10dif-pclmul.ko
kernel/arch/x86/crypto/glue_helper.ko
kernel/arch/x86/crypto/sha256-ssse3.ko
kernel/crypto
kernel/crypto/aes_generic.ko
kernel/crypto/af_alg.ko
kernel/crypto/algif_hash.ko
kernel/crypto/algif_skcipher.ko
kernel/crypto/ansi_cprng.ko
kernel/crypto/async_tx
kernel/crypto/async_tx/async_memcpy.ko
kernel/crypto/async_tx/async_pq.ko
kernel/crypto/async_tx/async_raid6_recov.ko
kernel/crypto/async_tx/async_tx.ko
kernel/crypto/async_tx/async_xor.ko
kernel/crypto/authenc.ko
kernel/crypto/cbc.ko
kernel/crypto/cmac.ko
kernel/crypto/crc32c_generic.ko
kernel/crypto/crct10dif_common.ko
kernel/crypto/crct10dif_generic.ko
kernel/crypto/cryptd.ko
kernel/crypto/crypto_simd.ko
kernel/crypto/drbg.ko
kernel/crypto/ecc.ko
kernel/crypto/ecdh_generic.ko
kernel/crypto/essiv.ko
kernel/crypto/xor.ko
kernel/crypto/xts.ko
kernel/drivers/crypto
kernel/drivers/crypto/ccp
kernel/drivers/crypto/ccp/ccp.ko
kernel/drivers/crypto/padlock-aes.ko
kernel/lib/crypto
kernel/lib/crypto/libaes.ko
x86_64-linux-gnu/libcrypto.so -> libcrypto.so.1.1
x86_64-linux-gnu/libcrypto.so.1.1
我不确定发生了什么变化。如果有人可以提供帮助,将不胜感激。
我正在 2021.12.x Arch Linux 安装中设置挂起到磁盘并恢复。我的问题是关于恢复时安全(没有数据丢失)解锁分区。
这是我的配置。引导加载程序是 grub 2.06,我使用的是基于 busybox 的 initramfs。相关分区如下。我没有使用LVM。
# partition encrypted mountpoint decrypted volume name
- --------- --------- ---------- ---------------------
...
3 root luks2 / cryptroot
4 swap luks2 [SWAP] cryptswap
...
在/etc/mkinitcpio.conf我已经配置了这些钩子。
HOOKS=(base udev ... openswap openroot ... resume ... filesystems fsck)
我没有使用内置的加密钩子。它只能解锁一个设备(通常只有cryptdevice内核参数中指定的根设备),但我也需要解锁加密的交换设备。因此,我使用了两个自定义钩子而不是加密钩子:openswap 和 openroot。本质上,openswap 挂钩运行:cryptsetup luksOpen <swap device> cryptswap
提示输入密码。openroot 挂钩对根分区设备执行相同的操作:cryptsetup luksOpen <root device> cryptroot.
接下来,内置的 resume 挂钩将交换设备的主要和次要编号写入/sys/power/resume.
printf "$devmajor:$devminor" >/sys/power/resume
此时有两种情况。
场景一:完全关机后开机
完全关机后启动计算机时,未锁定的交换分区中没有休眠映像。没有可恢复的内容,因此会进行常规引导。此时根分区已解锁(通过 openroot 挂钩),因此可以正确进行引导。
在这种情况下没有安全问题。
场景 2:如果在suspend-to-disk 之后启动
早些时候,当我启动磁盘挂起时,根分区将处于解锁和挂载状态,而休眠映像将按原样捕获此状态。现在,内核使用这个休眠映像恢复后,系统将继续使用这个(已经)解锁/挂载的根分区设备。
这就是我的问题出现的地方:
我知道mount在挂起和恢复之间的设备是不好的。例如,kernel.org 说:“如果您在挂起和恢复之间触摸磁盘上的任何内容…………与您的数据告别。” 我的配置不这样做。
cryptsetup luksOpen在挂起和恢复之间的设备是否同样糟糕?是否cryptsetup luksOpen构成触摸(上面的kernel.org术语)磁盘?回想一下 initramfs openroot 挂钩cryptsetup luksOpen <root device> cryptroot在挂起和恢复之间运行。
如果是这样,如何处理?
我正在尝试在 ext4 文件系统上进行加密,并加密了一个文件(使用fscrypt),该文件被设置为不可变(通过chattr +i)。我现在丢失了加密密钥并卸载了fscrypt.
我想删除该文件,但是当我尝试删除它时,出现以下错误:
# rm foo
rm: cannot remove 'foo': Operation not permitted
当我尝试使其可变时:
# chattr -i foo
chattr: Required key not available while reading flags on foo
因此,我相信我无法删除该文件,因为它是不可变的,并且由于加密,我无法更改其属性。有什么建议么?
编辑:
我尝试了以下方法,但它们不起作用:
- 从 Live USB 删除/修改文件。发生同样的错误。
encrypt按照 Ángel 的建议,在删除该功能后尝试。fsck由于某种原因也不会抛出任何错误。
findmnt( testdircontains foo) 和文件系统属性的输出:
$ findmnt --target testdir
TARGET SOURCE FSTYPE OPTIONS
/ /dev/sda4 ext4 rw,relatime
# tune2fs -l /dev/sda4 | grep "Filesystem features"
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent 64bit flex_bg sparse_super large_file huge_file dir_nlink extra_isize metadata_csum
有一种方法可以在Ubuntu上获得加密交换 + 休眠。还有一种方法可以在 nixos 上获得加密交换(使用 randomEncryption.enable = true),以及一种使休眠状态交换的方法。有没有办法休眠到加密交换?
当我尝试使用 cryptmount-setup 设置加密时,它只是返回而没有任何反馈。它甚至没有创建crypto.fs文件。我运行命令:cryptmount nextcloud_data并cryptmount -l表明目标的创建显然不成功,如下所示。
------------------------------
Your filing system is now ready to be built - this will involve:
- Creating the directory "/media/nextcloud_data"
- Creating a 2700000MB file, "/media/hdd_3tb/crypto.fs"
- Adding an extra entry ("nextcloud_data") in /etc/cryptmount/cmtab
- Creating a key-file ("/etc/cryptmount/nextcloud_data.key")
- Creating an ext3 filingsystem on "/media/hdd_3tb/crypto.fs"
If you do not wish to proceed, no changes will be made to your system.
Please confirm that you want to proceed (enter "yes")
[no]: yes
Making mount-point (/media/nextcloud_data)... done
Creating filesystem container (/media/hdd_3tb/crypto.fs)...~ $
~ $
~ $
~ $ cryptmount nextcloud_data
Target name "nextcloud_data" is not recognized
~ $ cryptmount -l
~ $
我已经减小了加密文件的大小,以确保这不是问题所在。关于这个问题的任何想法?
我在 FreeBSD 11 上使用 GELI 使用 AES256 加密我的外部备份设备。我最近将磁盘更改为 240GB SSD,因此只有一半的容量可用,这导致备份失败。
视窗 10;SSD显示232GB
自由BSD 11;SSD显示207GB
dd if=/dev/zero of=/dev/da0 bs=1M count=10 gpart add -t freebsd /dev/da0 newfs /dev/da0 >& /dev/null mount /dev/da0 /mnt/backup df -g /dev/da0 225 0 207 0% /bk/disk自由BSD 11;SSD显示116GB
da0.eli created da0.elis1 added => 40 244198504 da0.eli GPT (116G) 40 244198504 1 freebsd (116G) /dev/da0.elis1 112 0 103 0% /bk/disk
这是预期的还是与行业规模有关?
我正在使用 cryptsetup 开发 dm-crypt。我有兴趣了解它是否使用固定的块尺寸来加密文件。
我解释得更好:我创建了一个 LUKS 信封,使用 luksFormat 对其进行格式化,然后打开并安装在文件系统中。
然后我通常在该加密文件夹中写入文件。我想了解如果我编写 8 Kb 文件,则 dm-crypt 有可能以固定尺寸的块对其进行加密,以防万一有办法修改此块尺寸?
|-----------------------------------------------|
|+ 8Kb +|
|-----------------------------------------------|
| b1 | b2 | b3 | | | | bn |
| | | | | | | |
--------------------------------------------------