En tots els exemples, agafem sda1 com a partició. Cal revisar-ho per tal que s’adapti al sistema on estem treballant.
Veure informació de l’encriptació de la partició:
cryptsetup luksDump /dev/sda1
Afegir una clau a l’Slot 1 amb un temps d’iteració de 30ms (l’Slot ha d’estar lliure):
cryptsetup luksAddKey /dev/sda1 -S 1 -i 30
Canviar la clau de l’Slot 1 amb un temps d’iteració de 30ms:
cryptsetup luksChangeKey /dev/sda1 -S 1 -i 30
Canviar la clau de l’Slot 1 amb un fitxer binari, enlloc de posar la contrasenya:
cryptsetup luksChangeKey /dev/sda1 --key-slot 1 /try/crypto_file.bin
Esborrar una clau (hem de saber la clau i no podem especificar l’Slot):
cryptsetup luksRemoveKey /dev/sda1
Si no sabem la clau de l’Slot que volem canviar, hem de destruïr l’Slot, en aquest cas l’1. Després la podrem afegir:
cryptsetupLuksKillSlot /dev/sda1 1 cryptsetup luksAddKey /dev/sda1 -S 1 -i 30
Identificar a quin Slot pertany una clau (en fitxer) que tenim (exemple de provar a l’slot 6):
cryptsetup luksOpen --key-file crypto_file.bin --test-passphrase --key-slot 6 /dev/sda1
Tot i que l’anterior es pot saber obrint amb el mode verbose (-v) i sense tantes opcions:
cryptsetup luksOpen -v --key-file crypto_file.bin /dev/sda1 proves
Si volem provar una contrasenya enlloc de fitxer, eliminar l’opció –key-file crypto_file.bin
Desencriptar i muntar una partició encriptada:
cryptsetup luksOpen /dev/sda1 proves mkdir /proves mount /dev/mapper/proves /proves
Exemple de com recuperar un sistema al qual s’ha esborrat un clau de fitxer per error i no fa boot (es queda a Busybox):
cryptsetup luksOpen /dev/sda1 proves mkdir /proves mount /dev/mapper/proves /proves cp /proves/crypto_keyfile.bin ./ umount /proves cryptsetup luksClose proves cryptsetup luksAddKey -S 1 /dev/sda1 crypto_keyfile.bin reboot -f
Fitxers que ens poden interessar:
/etc/grub/grub.cfg /etc/cryptsetup-initramfs/conf-hook /etc/crypttab