问题[dm-crypt](unix)

我有一个使用 dm-crypt 加密的设备。这是我在笔记本电脑上使用的迷你 SD 卡。

我最近遇到了一些笔记本电脑死机的问题，在日记中出现了这些消息：

Mar 20 17:18:30 gorgonzola kernel: EXT4-fs (dm-0): warning: mounting fs with errors, running e2fsck is recommended
Mar 20 17:18:30 gorgonzola kernel: EXT4-fs (dm-0): recovery complete
Mar 20 17:18:30 gorgonzola kernel: EXT4-fs (dm-0): mounted filesystem with ordered data mode. Opts: (null)
...
Mar 20 17:23:30 gorgonzola kernel: EXT4-fs (dm-0): error count since last fsck: 84
Mar 20 17:23:30 gorgonzola kernel: EXT4-fs (dm-0): initial error at time 1505289981: ext4_journal_check_start:60
Mar 20 17:23:30 gorgonzola kernel: EXT4-fs (dm-0): last error at time 1551543757: ext4_reserve_inode_write:5903: inode 1054920: block 4194732

我曾尝试运行 fsck，但出现此错误：

Bad magic number in super-block

在尝试解决此问题之前，我只想确保我确实能够在 dm 加密的驱动器上运行 fsck。还是预期会出现此错误？我之所以感到困惑，是因为我可以很好地安装这个设备。出于所有意图和目的，该驱动器运行良好。它安装，它可以读取和写入所有数据......唯一的问题是我在启动时收到此错误。那么超级块真的有问题吗？

从密码分析的角度来看，在 dm-crypt 普通模式和 cypher 中为不同卷重用相同密钥时是否存在安全缺陷aes-xts-plain64？

# Example: Encrypt two volumes with the same key

cryptsetup --type plain --cipher=aes-xts-plain64 --key-size=256 --key-file mykey open /dev/sda myvol1
cryptsetup --type plain --cipher=aes-xts-plain64 --key-size=256 --key-file mykey open /dev/sdb myvol2

我只考虑使用相同密钥加密少于 100 个卷的实际情况。

所以我在这里安装了一个带有文档的新 Arch，用于整个系统加密。

我感到困惑的第一部分是文档写道：

警告：GRUB 不支持 LUKS2。不要在 GRUB 需要访问的分区上使用 LUKS2。

但在本节的后半部分，它告诉我运行命令cryptsetup luksFormat /dev/sda3。但是当我运行它时，它要求输入密码，但它不是说 GRUB 不支持 LUKS2 吗？

后来我输入密码，进入我运行的grub 安装grub-mkconfig -o /boot/grub/grub.cfg，它说filaed to connect lvmetad，但因为它是警告，所以我忽略了它。

后来我完成了这个过程直到最后一部分，没有任何错误。

但是然后我退出arch-chroot并重新启动，但它无法启动，它跳到下一个操作系统（在我的情况下是 Windows 10），为什么？我错了哪一部分？如何解决？

PS这是我的磁盘表，带有命令lsblk

NAME                 SIZE     TYPE    MOUNTPOINT
sda                  114.6G   disk    
  sda1               4G       part
  sda2               4G       part    /mnt/boot/efi
  sda3               16G      part    
    cryptboot        16G      crypt   /mnt/boot
  sda4               90.6G    part    
    lvm              90.6G    crypt
      AALEvol-swap   8G       lvm     [SWAP]
      AALEvol-root   82.6G    lvm     /mnt

我们将 dm-verity 用于 squashfs 根文件系统。

使用内核 4.8.4 一切正常，升级到内核 4.14.14 后挂载失败，即使该veritysetup verify命令验证了映像。

# veritysetup verify /dev/mmcblk0p5 /dev/mmcblk0p6 --hash-offset 4096 d35f95a4
b47c92332fbcf5aced9c4ed58eb2d5115bad4aa52bd9d64cc0ee676b --debug
# cryptsetup 1.7.4 processing "veritysetup verify /dev/mmcblk0p5 /dev/mmcblk0p6 --hash-offset 4096 d35f95a4b47c92332fbcf5aced9c4ed58eb2d5115bad4aa52bd9d64cc0ee676b --debug"
# Running command verify.
# Allocating crypt device /dev/mmcblk0p6 context.
# Trying to open and read device /dev/mmcblk0p6 with direct-io.
# Initialising device-mapper backend library.
# Trying to load VERITY crypt type from device /dev/mmcblk0p6.
# Crypto backend (OpenSSL 1.0.2m  2 Nov 2017) initialized in cryptsetup library version 1.7.4.
# Detected kernel Linux 4.14.14-yocto-standard armv7l.
# Reading VERITY header of size 512 on device /dev/mmcblk0p6, offset 4096.
# Setting ciphertext data device to /dev/mmcblk0p5.
# Trying to open and read device /dev/mmcblk0p5 with direct-io.
# Activating volume [none] by volume key.
# Trying to activate VERITY device [none] using hash sha256.
# Verification of data in userspace required.
# Hash verification sha256, data device /dev/mmcblk0p5, data blocks 10462, hash_device /dev/mmcblk0p6, offset 2.
# Using 2 hash levels.
# Data device size required: 42852352 bytes.
# Hash device size required: 348160 bytes.
# Verification of data area succeeded.
# Verification of root hash succeeded.
# Releasing crypt device /dev/mmcblk0p6 context.
# Releasing device-mapper backend.
Command successful.


# veritysetup create vroot /dev/mmcblk0p5 /dev/mmcblk0p6 --hash-offset 4096 d3
5f95a4b47c92332fbcf5aced9c4ed58eb2d5115bad4aa52bd9d64cc0ee676b --debug

# mount -o ro /dev/mapper/vroot /mnt/
device-mapper: verity: 179:5: metadata block 2 is corrupted
EXT4-fs (dm-0): unable to read superblock
device-mapper: verity: 179:5: metadata block 2 is corrupted
EXT4-fs (dm-0): unable to read superblock
device-mapper: verity: 179:5: metadata block 2 is corrupted
EXT4-fs (dm-0): unable to read superblock
device-mapper: verity: 179:5: metadata block 2 is corrupted
SQUASHFS error: squashfs_read_data failed to read block 0x0
squashfs: SQUASHFS error: unable to read squashfs_super_block
device-mapper: verity: 179:5: metadata block 2 is corrupted
FAT-fs (dm-0): unable to read boot sector
mount: mounting /dev/mapper/vroot on /mnt/ failed: Input/output error

dmesg 中出现相同的错误消息。以上命令在目标设备上运行。

在我的主机Debian 8（内核 3.16.0-5）上，使用最终位于 /dev/mmcblk0p5 和 /dev/mmcblk0p6 中的文件，我能够设置一切正常工作：

# veritysetup create vroot rootfs-image.squashfs rootfs-image.hashtbl --hash-offset 4096 d35f95a4b47c92332fbcf5aced9c4ed58eb2d5115bad4aa52bd9d64cc0ee676b
# mount /dev/mapper/vroot /tmp/mnt