Ahoj, bud sa stracam, alebo tomu len nerozumiem.
cryptsetup reencrypt co je preferovana metoda oproti "alternative" cryptsetup-reencrypt commandline prikazu by --decrypt znemanlo: Remove encryption (decrypt already encrypted device and remove LUKS header). WARNING: This is destructive operation and cannot be reverted. Cize kompletne zrusim LUKS co nechcem.
$ sudo cryptsetup-reencrypt --decrypt container.img
$ cryptsetup luksDump container.img
Device container.img is not a valid LUKS device.
Ci?
cryptsetup reencrypt
-- změna paramterů šifrování (např. změna šifry nebo master klíče)
cryptsetup reencrypt --decrypt
-- dešifrování aktuálně zašifrovaného zařízení
cryptsetup reencrypt --encrypt
-- zašifrování aktuálně nešifrovaného zařízení
Všechny tři tyhle akce si zapíší metadata do LUKS hlavičky, aby v případě přerušení šlo tu operaci obnovit a <b>jen tahle metadata</b> se mění (jsou nově podepsaná, aby nešlo podvhrnout probíhající dešifrování). Tj. není třeba nic dělat, v LUKS hlavičce jako takové se nic nemění a pokud si s novým cryptsetupem některou z těch operací pustíte, tak se použijí nová reencryption metadata.
Taky v tom nevidím žádnou tragédii. Jo, kdyby to dokázal bez hesla to je něco naprosto jiného. Evidentně se jedná o velmi specifickou variantu např. cloudové servery, kdy vlastníci hw infrastruktury jenž mají v hw fyzický přístup toto mohou využít a vlastník dat používající remote přístup má hold smůlu.
Při čtení zprávičky jsem nepochopil, že jde o to, že reencryption podporuje i decryption, a toho se zneužívá - myslel jsem si, že jde jen o nějaký problém typu že útočník vynutí použití staré hlavičky nebo tak něco. Ale tohle je teda hustý.