Ubuntu 10.10 + cryptsetup = Problem? (Frage und Warnung!)

[grimsrud]

Hi zusammen,

vielleicht als Warnung und Frage, an mögliche Betroffene:
In den Releasenotes steht folgendes:

Cryptsetup is not by default compatible with the version in 10.04LTS. An encrypted disk set up under 10.04LTS will fail to properly mount under maverick. This is because, as documented in the /usr/share/doc/cryptsetup/NEWS.Debian.gz, defaults have changed. So to mount a disk which was created in 10.04LTS with cryptsetup, in 10.10 you must specify the cipher as such: cryptsetup -c aes-cbc-plain create h /dev/sdb1 (622762)

Das betrifft jetzt gerade mal nicht mein X31, weil das mitterweile mit Debian läuft, aber meinen PC. Jener welcher ist nämlich komplett verschlüsselt (bis auf /boot natürlich).
Was ich mich jetzt Frage ist eigentlich folgendes: verstehe ich das richtig, dass mein schönes System nach einem Upgrade von 10.04 auf 10.10 nicht mehr starten wird, wenn ich nicht in irgendeiner Form eingreife? Falls das so ist: mir ist ehrrlich gesagt nicht ganz klar, wann ich wie, was machen soll. Das wird zwar in dem zugehörigen Bug-Report angerissen, aber verstehen tue ich es ehrlich gesagt nicht.

Irgendwer eine Idee? Neuinstallieren wollte ich jetzt eigentlich nicht. Zumal das auch meine 2te HDD (Daten-Platte) betreffen würde.

Munter. Grimsrud

 

[linrunner]

In dem verlinkten Bug steht

The default key size for LUKS was changed from 128 to 256 bits, and default
plain mode changed from aes-cbc-plain to aes-cbc-essiv:sha256.
In case that you use plain mode encryption and don't have set cipher and hash
in /etc/crypttab, you should do so now.

Daraus schließe, daß es nicht auftritt, wenn Du als Verschlüsselung schon aes-cbc-essiv:sha256 verwendest, was schon seit einigen Releases der Installationsdefault ist.

Nachschauen kannst Du mit

dmsetup ls

da sollte ein Device
[font='Courier New, Courier, mono']XXXX_crypt ... luks[/font]
auftauchen. Dann

cryptsetup status XXXX_crypt

 

[grimsrud]

Danke soweit schonmal

Also bei dmsetup ls steht bei mir nichts von luks am Ende... sollte das da stehen? Zumindest HDD1 habe ich mit der alternative-CD erstellt.

cryptsetup status (gekürzt):

HDD1:
cipher: aes-cbc-essiv:sha256
keysize: 256 bits

HDD2:
cipher: aes-cbc-essiv:sha256
keysize: 128 bits

Das bedeutet ja wohl, das zumindest HDD2 Probleme machen sollte. Und nun?

 

[linrunner]

Im Bug steht der Hinweis, daß das Problem nur bei aes-cbc-plain auftritt. Aber sicher ist sicher. Wenn ich es richtig verstanden habe, reicht es, die nötigen Infos in /etc/crypttab einzutragen. Zeig deine mal bitte.

 

[kiraven]

Bei mir lief das Update trotz verschlüsseltem LVM ohne Probleme. Allerdings ist meine Partition mit aes-xts-plain verschlüsselt.

 

[grimsrud]

Zeig deine mal bitte

hdd1 UUID=xxxx-xxxx-xxxx-xxxx-xxxx none luks
hdd2 UUID=yyyy-yyyy-yyyy-yyyy-yyyy none luks

 

[hannesw]

ich hab mein system nach diesem thread gebackupt vor dem update. es hat aber alles geklappt, falls das andere ermutigt

sudo cryptsetup status sda5_crypt
/dev/mapper/sda5_crypt is active:
  cipher:  aes-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/sda5
  offset:  2056 sectors
  size:    124540920 sectors
  mode:    read/write


/etc/crypttab:
sda5_crypt UUID=8e85dd1c-eb4e-40e9-91d9-805dc51b5983 none luks

 

[linrunner]

hdd1 UUID=xxxx-xxxx-xxxx-xxxx-xxxx none luks
hdd2 UUID=yyyy-yyyy-yyyy-yyyy-yyyy none luks

Nach Befragung des Orakels man cryptab könnest Du jetzt sicherheitshalber jeweils Cipher und Keysize anhängen (Vorsicht: Unfallgefahr, zweiten Kernel bereithalten):

hdd1 UUID=xxxx-xxxx-xxxx-xxxx-xxxx none luks,cipher=aes-cbc-essiv,hash=sha256,size=YYY

Muß danach aber noch aktiviert werden

sudo update-initramfs -u

 

[grimsrud]

Danke für die Hilfe,

habe jetzt mal das upgrade gewagt, und es ist alles in Ordnung.

Munter. Grimsrud