Luks
分離的 LUKS 標頭的限制是什麼
我試圖了解 LUKS 分離標頭與其各自的塊設備之間的關係。據我了解,使用分離的標頭“格式化”實際上並沒有改變其各自塊設備的內容,這只發生在您開始寫入打開的 (
cryptsetup luksOpen) 分區時。所以我想知道:
- 單個加密分區是否可以有兩個獨立的標頭。例如,如果我有一個可移動驅動器間歇性地插入兩台不同的電腦,每台電腦是否可以擁有自己獨立的標頭副本,而無需重新同步標頭的兩個副本。
- 可以將單個分離的標頭用於兩個單獨的驅動器。例如,如果我有兩個加密的備份驅動器,是否可以將單個標頭用於兩者,或者標頭是否以某種方式綁定到分區?
這是可能的。如果您閱讀 cryptsetup 手冊和常見問題解答,您會發現不鼓勵這樣做。但是無論如何,沒有任何地方可以阻止您這樣做。
您可以根據需要使用盡可能多的標題副本,甚至可以修改這些副本,例如,一個副本使用密碼 A,另一個使用密碼 B - 或者一個可以是 LUKS1 格式,而另一個是 LUKS2。只要加密本身保持不變,任何事情都會發生。不利的一面是,如果您無法控制所有 LUKS 標頭副本,則無法撤銷密碼。
您可以對任意數量的驅動器使用相同的標頭,它會起作用,但缺點是,它們都將使用相同的主密鑰進行加密。更常見的是使用不同的標頭(不同的主密鑰),可能具有相同的密碼,例如
systemd支持重新使用相同的密碼在啟動時打開許多獨立的 LUKS 容器。LUKS 標頭只是儲存實際加密密鑰(LUKS 稱之為“主密鑰”)和相關元數據(如使用哪種密碼和數據偏移量)的一種奇特方式。它不記錄分區名稱或大小,因此沒有太多限制。LVM 或 mdadm 元數據對這些東西更加挑剔。