web-dev-qa-db-fra.com

Comment rendre Ubuntu inutilisable en supprimant la clé de chiffrement complète du disque?

Je suis prêt à me débarrasser d'un ancien ordinateur crypté à l'aide du cryptage intégral du disque LUKS. Est-il possible de supprimer la clé de cryptage des métadonnées LUKS afin que personne ne puisse plus jamais déverrouiller la partition? Si oui, comment puis-je faire cela?

3
TwentyMiles

Le simple remplacement de l’en-tête de LUKS fonctionnera; écraser le lecteur entier est déjà excessif pour LUKS et prendrait peut-être des heures de plus.

L'en-tête LUKS pourrait faire 1 Mo ou 2 Mo ou plus selon le type et le nombre de clés, ArchWiki le conseille pour effacer/écraser les 10 premiers Mo:

dd if=/dev/urandom of=/dev/sdx2 bs=512 count=20480

Notez la partition correcte sdx2 ou quoi que ce soit, vous pouvez vérifier avec un live DVD/usb et lsblk ou blkid et confirmer avec la commande cryptsetup ci-dessous, cela vous dira si la partition sdx5 par exemple est un périphérique LUKS:

cryptsetup -v isLuks /dev/sdx5

Également de ArchWiki:

Remarque: Il est essentiel d'écrire sur la partition chiffrée LUKS (/ dev/sdx5 dans cet exemple) et non directement sur le nœud du périphérique des disques. Si vous avez configuré le chiffrement en tant que couche de périphérique-mappeur par-dessus d’autres, par exemple, LVM sur LUKS sur RAID puis écrire sur RAID respectivement.

Vous pouvez uniquement (ou en plus) supprimer tous les emplacements de clé luks, sans laisser de clé, si vous connaissez une phrase secrète qui fonctionne. Voir man cryptsetup ou a version Web ici , avec:

cryptsetup -v luksRemoveKey <device>

ou

cryptsetup -v luksKillSlot <device> <key slot number>

Notez également à propos des SSD (également de ArchWiki):

Lorsque vous effacez l'en-tête avec des données aléatoires, tout ce qui reste sur le périphérique est crypté. Une exception à cela peut se produire pour un disque SSD, en raison des blocs de cache que les disques SSD utilisent. En théorie, il peut arriver que l’en-tête ait été mis en cache quelque temps auparavant et que, par conséquent, cette copie soit toujours disponible après l’effacement de l’en-tête original. Pour des raisons de sécurité importantes, un effacement ATA sécurisé du disque SSD doit être effectué (voir la procédure cryptsetup FAQ 5.19 ).

3
Xen2050