#linux #cryptsetup #luks are there any practices surrounding rotating the volume key using `cryptsetup reencrypt <cryptvolume>`?

IIUC, when the header is stolen it is possible to determine exactly which key/passphrase is the correct one. So by exfiltrating the header alone, one could theoretically start cracking. So reencrypting would prevent a stolen header from being useful for too long a long time afterwards.

Granted, it is a bit hypothetical. #security #encryption #confidentiality

They changed the default hash for plain mode in #cryptsetup

Had a lot of fun after upgrade.

Thanks.

ALERT ! /dev/mapper/ubuntu--vg-ubuntu--v does not exist. Dropping to a shell! #filesystem #initramfs #fsck #cryptsetup #busybox

https://askubuntu.com/q/1559671/612

Компьютер с полностью шифрованным SSD/NVMe?
Вполне полноценно через #LUKS — рабочее решение, без дырок от вендоров для криминалистов (#forensics).
Т.е. получается комп на #Linux с файловой системой #btrfs на «жёстком диске» с LUKSv2 для шифрования. Годно и для игр и для нескольких лет работы.

Именно вторая версия LUKS ради другой #PBKDF — обработке вводимого пароля через #argon2id в рамках #PBKDF2 для извлечения ключа шифрования из заголовка раздела на «диске».

Суеверные люди предпочитают молчать о том, как работают их сложные и навороченные системы. Однако, когда прошло несколько лет эксплуатации, то можно просто констатировать как свершившийся факт качество работы системы.

Ноутбуки иногда теряются или крадутся, а из десктопов не всегда удаётся извлечь носитель («диск»). Оперативно-следственные службы не всегда добросовестно опечатывают технику при изъятии и абы кто может докинуть на ваши носители данных непонятно какие материалы, перед тем как устройства поступят в «ЭКЦ МВД России».

И помните, что если следователь показывает распоряжение о проведении экспертизы содержимого ваших носителей данных. Требуя при этом предоставить пароль, то знать о наличии пароля он как бы и не должен. А может оказаться в курсе лишь в том случае, если на этом постановлении имеется отметка от ЭКЦ о приёме на экспертизу ваших устройств.
А если же такой отметки нету, то значит следак в курсе неудачной попытки что-то эдакое подкинуть на ваши носители данных. Т.е. устройства ваши находятся всё ещё у него в закромах, а не были переданы в ЭКЦ. И если выдать пароль, то неизвестно что нового появится на них перед отправкой в ЭКЦ.

#cryptsetup #Argon2 #FDE #crypto #криптография #security #ИБ #infosec

Well, let's go!
#archlinux #yubikey #cryptsetup #luks #ssh #remote #server

https://github.com/agherzan/yubikey-full-disk-encryption/pull/113

My experience with #FlashDrives recently has been mixed. I have no problem in encrypting them with #LUKS, using #cryptsetup or with formatting a partition with #Btrfs, for instance, using #gparted and doing other tinkering with #Gnome #disks. But the problem has been with the actual drives themselves. The cheaper ones seem to have quite a few bad sectors, etc. and so they’re not really reliable for medium term storage.

1/2

#Hardware #StorageDevices #Unix #GNU #Linux #Fedora

In case someone else is wondering why linux luks hard disk encryption is usually within a lvm container: that way you only need one password to unlock multiple partitions.

(found out the hard way)

#linux #cryptsetup #harddisk #encryption

So today I tired #mkfs.btrfs and this works. I was using #gparted, which can’t create #encrypted file systems and so I created a blank (cleared) one, used #cryptsetup to create the #encryption on the device, and then created the brtrfs file system.

#GNU #FreeSoftware

第848回　TangとTPMを用いて、Ubuntu上の暗号化ストレージの自動復号をより強固にする
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0848?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術動向 #技術解説 #業界動向 #OS #セキュリティ #Ubuntu #FDE #暗号化 #LUKS #cryptsetup #tang #clevis #NBDE

第846回　TPMを用いて、Ubuntu上の暗号化ストレージの復号を自動的に行う
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0846?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術動向 #技術解説 #業界動向 #OS #セキュリティ #Ubuntu #FDE #暗号化 #LUKS #cryptsetup #clevis

Зашифрованные флешки и переносные hdd, поддерживаются почти всеми линуксами «из коробки».
Если на windows’ах для работы с флешкой использовалось #VeraCrypt или даже #TrueCrypt, то на linux-системах с этой же флешкой можно и через #cryptsetup работать. Без надобности устанавливать дополнительные приложения, сродни того же VeraCrypt.
Подключить целиком зашифрованную флешку:

$ sudo cryptsetup open --type tcrypt /dev/sdXY myconfidential
или же
$ sudo cryptsetup tcryptOpen /dev/sdXY myconfidential

$ sudo mkdir /mnt/secureflash
$ sudo mount /dev/mapper/myconfidential /mnt/secureflash

$ sudo umount /mnt/secureflash 
$ sudo cryptsetup close myconfidential 

Does someone have a working #nixos setup where they decrypt their drive via #cryptsetup that they access remotely via #tailscale?

That's what I am building for my new working machine.

Also WakeOnLan (via local network though).

:boost_ok: #followerpower

Does someone have a working #nixos setup where they decrypt their drive via #cryptsetup that they access remotely via #tailscale?

That's what I am building for my new working machine.

Also WakeOnLan (via local network though).

:boost_ok: #followerpower

USBのケースに2.5インチHDDを?

?れて初期化しました．

LUKSで暗号化のためにCryptsetupを，透過圧縮，重複排除も使いたいということでBtrFSを利用しました．

[…]

https://matoken.org/blog/2024/11/12/initialize-usb-hdd-with-luks-btrfs/

Восстановление данных с зашифрованного Linux тома с помощью cryptsetup

В этой статье мы разберем восстановление данных с зашифрованного с помощью LUKS тома NAS. Внимание : в самом худшем случае для восстановления данных этим способом потребуется свободное место равное двум объемам зашифрованного раздела. Например, если у вас есть зашифрованный раздел на 1 ТБ, то необходимо иметь 2 ТБ свободного места. В лучшем случае (незначительные повреждения) понадобится один объем свободного дискового пространства. Также обращаем внимание, что вам НУЖНО ЗНАТЬ пароль, который использовался для шифрования тома Для примера мы будем использовать диск от QNAP с зашифрованном разделом. 1. Подключаем диск от QNAP к компьютеру с помощью USB или SATA. После чего нужно любым доступным способом создать образ зашифрованного раздела. Для примера мы будем использовать программу Vолга. Выбираем раздел QNAP и начинаем создание образа. Мы советуем сохранить образ в формате .img (посекторный RAW образ) на любой внешний диск.

https://habr.com/ru/articles/855290/

#Шифрование #luks #cryptsetup #зашифрованный_раздел #восстановление_данных #расшифровка_данных

TIL: If you want to `cryptsetup open` a BitLocker encrypted drive using the recovery key (8 blocks of 6 digits each), make sure to enter it _with_ the dashes between each block of digits, else it won't be recognized.

#Linux #Windows #BitLocker #cryptsetup

第831回　暗号化されたUbuntuのルートファイルシステムをリモートから復号する方法
https://gihyo.jp/admin/serial/01/ubuntu-recipe/0831?utm_source=feed

#gihyo #技術評論社 #gihyo_jp #技術動向 #技術解説 #業界動向 #OS #アプリケーション #サーバ関連 #Ubuntu #FDE #暗号化 #LUKS #cryptsetup #dropbear

Dear fellow #linux #cryptsetup users, I need your assistance while I'm trying to encrypt my root partition:

The Arch Linux wiki (https://wiki.archlinux.org/title/Dm-crypt/Device_encryption#Re-encrypting_devices) has some guide to first unmount and then shrink the partition before reencryption, but then it has a header saying "cryptsetup 2.2 using LUKS2 supports online encryption/decryption/reencryption". Does that mean I can skip the unmount and resize, and just run the reencrypt command when the OS is still running on that partition?