问题[encryption](unix)

问题

在 GRUB 中可以使用命令cryptomount来挂载 LUKS 分区。

有没有办法将这个解密分区传递给 Linux，使其显示为设备映射器（/dev/mapper/xxx）条目，而无需运行cryptsetup luksOpen？

如果 GRUB 无法实现，是否有其他引导加载程序支持此功能？

笔记

一些发行版支持cryptdevice/cryptkey参数，但是这似乎不是一个标准的 Linux 内核参数（并且不受我使用的发行版支持）。

还有dm-mod.create内核参数，但它似乎只支持明文密码（可从查看/proc/cmdline）或使用 Linux 密钥环条目。

这两种方法都需要再次解密分区，以便 Linux 可以挂载它，对吗？否则他们为什么需要密钥？

我正在尝试从我的 /etc/shadow 文件验证此哈希密码：
$y$j9T$eia4V8bEUD9QBJAEwilXU.$TLUJexdhrx/q3Nc/YaCrlkVkrxUkimYn3o432pxFr90

我想以这种方式将哈希传递给 mkpasswd 但失败：

$ mkpasswd -m yescrypt secret eia4V8bEUD9QBJAEwilXU.
Wrong salt length: 22 bytes when 0 expected.

$ mkpasswd -m yescrypt secret "$y$j9T$eia4V8bEUD9QBJAEwilXU.$"
crypt: Invalid argument

如何传递散列字符串中的盐或参数？

顺便说一句，我已经找到了一种使用 python 脚本验证密码的方法，如这篇 SO post中所述，所以这意味着我们有足够的信息（参数和盐）来计算哈希值。但我更喜欢用 mkpasswd 来做：

$ python3 -c 'import crypt, os; print(crypt.crypt("secret", "$y$j9T$eia4V8bEUD9QBJAEwilXU.$"))'
$y$j9T$eia4V8bEUD9QBJAEwilXU.$TLUJexdhrx/q3Nc/YaCrlkVkrxUkimYn3o432pxFr90

免责声明

我没有抢劫任何人，过去没有抢劫过任何人，也不打算很快这样做。

情况

想象一下，我拥有一个已加密的三星 2.5 英寸 SSD（850、860 等）。如果它是 Bitlocker、FileVault 或 VeraCrypt 等软件加密，我只需重新格式化磁盘就可以了。但是这些三星 SSD 还附带AES-256Bit 硬件加密，我不知道密码。我对磁盘上（或不在磁盘上）的数据不感兴趣。

问题

在没有PW的情况下如何擦除硬件加密盘？我唯一的目标是重新利用 SSD，而不是访问数据本身。

假设鲍勃从爱丽丝那里收到一条用他的公钥加密并用她的私钥签名的消息。现在他想向查理证明他收到了她发来的消息，内容与此完全相同。该消息是通过创建的gpg --sign --encrypt。

我的想法是他可以解密该消息并将其及其签名保存在某处，但我找不到实现此目的的方法。但由于 GPG 对消息进行签名，然后对其进行加密，因此这至少在理论上是可能的。

现在他该如何做到这一点，或者您是否有任何其他想法，鲍勃如何向查理证明消息的真实性？

限制：

• 向查理·鲍勃提供私钥（显然）不是一个选择。
• 只能通过电子邮件进行沟通。
• 无法再联系到 Alice，因此重新发送消息或 Charlie 和 Alice 无法相互通信。鲍勃必须利用他已有的东西。

有没有人有使用 Yubikey 安全密钥作为基于文件的加密容器（如 VeraCrypt 或其他东西）的第二个因素的解决方案？我知道安全密钥不允许 PGP，但现在我没有其他密钥。

假设我丢失了一个 LUKS 加密的 USB 笔式驱动器。我认为文件系统类型 (ext4/fat32/...) 不起作用。一个外国人发现了它。当然他不能访问我的数据，因为他没有密码。但他可以更改“原始”数据中间的单个字节，从而损坏数据。

U盘退还给我后，是否可以验证我的数据是否损坏？

我认为读取整个映射器设备会导致 I/O 错误，但不幸的是它不会。我也检查过dmesg。

# create an all zero 100MiB file
dd if=/dev/zero of=moh bs=100M count=1

# format it as LUKS device
/usr/sbin/cryptsetup luksFormat moh

# map it to /dev/mapper/moh
sudo cryptsetup luksOpen moh moh

# initialize mapper file to zero
sudo dd if=/dev/zero of=/dev/mapper/moh

# close LUKS device
sudo cryptsetup luksClose moh

# overwrite 1MiB with zeroes at offset 10MiB. After this the LUKS device is damaged.
sudo dd if=/dev/zero of=moh conv=notrunc bs=1M seek=10 count=1

# open LUKS device and see if it complains
sudo cryptsetup luksOpen moh moh

# read all data to see if it complains
sudo dd if=/dev/mapper/moh of=/dev/null

上述命令证明打开和读取损坏的 LUKS 设备不会产生任何错误。

请注意，我不想执行任何文件系统检查。相反，我想验证 LUKS 设备的加密级别是否未受影响。

因为我正在寻找一个单一的命令来验证 luks 设备我希望你明白这不是一个更适合 SO 的编程问题。

我需要使用 aes-256-ecb 加密一些数据，因为后端代码需要它作为配置。我能够使用从密码短语派生的密钥进行加密：

openssl enc -p -aes-256-ecb -nosalt -pbkdf2 -base64 -in data-plain.txt -out data-encrypted.txt | sed 's/key=//g'

这使用派生密钥加密并在控制台中输出密钥。

但是，我找不到如何使用生成的密钥来执行此操作，例如：

1. 使用以下命令生成 256 位密钥：

   openssl rand -base64 32 > key.data

2. 然后在加密过程中使用此密钥，例如：

   openssl enc -p -aes-256-ecb -key=key.data -nosalt -pbkdf2 -base64 -in data-plain.txt -out data-encrypted.txt

这可能吗？

我有一个奇怪的问题。我有一个 tararchive.tar.gz档案，里面装满了纯文本文件。然后将该存档 gpg 加密为archive.tgz.gpg. 总共archive.tgz.gpg小于 100KB。

现在，我想让它archive.tgz.gpg看起来像一个 linux 二进制文件，并使用大多数 unix 标准实用程序对其进行非混淆处理。我知道它（很可能）不会作为二进制可执行文件工作，这没关系。但粗略一看，它应该大致显示为损坏的二进制可执行文件。

我得到的最远的尝试是尝试使用修改标题cat，dd因此file无法正确返回文件类型，但我在网上找到有关执行此操作的大量信息方面还没有走得太远。

如果有人能够帮助我指出正确的方向，我将不胜感激。谢谢！

有没有办法在没有 sudo 权限的情况下检查 LUKS 设备是否已解锁？

我知道两个 问题，但所有答案都需要 sudo。

似乎我找到了一种间接的方法（处理 ' 输出的CleartextDevice值udisksctl info），但即使假设它是一个稳定的解决方案，它充其量只是一个 hack。

例如，Gnome-disks 不需要 sudo 权限，但它仍然可以解码 LUKS 设备的锁定/解锁状态。

我有多个密钥（一些是私有的，一些是公共的），我想获取有关它们的信息（它们的长度、它们的类型、其他任何东西）。那可能吗？