web-dev-qa-db-ja.com

Cryptsetupluks-カーネルがaes-xts-plain64暗号をサポートしていることを確認します

CentOS5でcryptsetupluks暗号化を使用して、多数のハードドライブを暗号化しました。システムをCentOS 6にアップグレードするまでは、すべて問題ありませんでした。ディスクをマウントできなくなりました。

私のキーフレーズでマウントするには:

Sudo cryptsetup luksOpen /dev/sdc1 d2

このエラーが発生します:

device-mapper: reload ioctl on  failed: Invalid argument
Failed to setup dm-crypt key mapping for device /dev/sdc1.
Check that kernel supports aes-xts-plain64 cipher (check syslog for more info).
Failed to read from key storage.

/ var/log/messages:

Feb  3 23:43:23 data kernel: device-mapper: table: 253:0: crypt: Device lookup failed
Feb  3 23:43:23 data kernel: device-mapper: ioctl: error adding target to table

マウント方法について何か考えはありますか?

4
Crash Override

解決策が見つかりました。

問題は、ドライブが約512文字のインタラクティブキーフレーズで暗号化されていたことでした(キーファイルからのコピー/貼り付け)。何らかの理由で、CentOS 6の新しいカーネルモジュールは、古いバージョンで作成された場合、512文字の暗号化されたキーを正しく読み取れませんでした。 512文字のキーは、同じシステムで作成して開いたときに機能するため、カーネルまたはcryptsetupの異なるバージョンにのみ影響するようです。

要約すれば...

カーネル-> 512文字のluksキーを作成->同じカーネルで開くことができます

古いカーネル-> 512文字のluksキーを作成->新しいカーネルで開くことができない

512文字は長すぎます。しきい値が何であるかはわかりませんが、キーを50文字に変更することにし、それは機能しました。

解決するために、以前使用していた古いCentOS 5オペレーティングシステムを再インストールし、cryptsetup luksAddKeyを使用して、元の(長い)512文字のキーを入力し、50文字の新しいキーを作成しました。

次に、CentOS 6を再インストールし、(元のキーではなく)50文字のキーを使用してcryptsetupluksOpenで各ディスクを正常にマウントしました。

したがって、同様のエラーが発生した人へのメモ。ドライブを超長キーで暗号化し、新しいカーネルまたはcryptsetupに変更し、暗号化されたボリュームをluksOpenしようとするとカーネルモジュールエラーが発生する場合、luksAddKeyとを使用するには古いカーネルバージョンに戻らなければならない場合があります。新しいカーネルで使用する前に、短いキーを追加してください。これはバグであるか、LUKSで使用されるカーネルモデルで許可されている最大インタラクティブキーの不一致である可能性があります。

3
Crash Override