19.2. Exécutez volume_key en tant qu'utilisateur individuel

En tant qu'utilisateur individuel, volume_key peut être utilisé pour sauvegarder les clés d'encodage par la procédure suivante.

Note

Pour tous les exemples qui se trouvent dans ce fichier, /path/to/volume est un périphérique LUKS, et non pas un périphérique en texte brut intégré. La commande blkid -s type /path/to/volume doit rapporter type="crypto_LUKS".

Procédure 19.1. Exécutez volume_key en autonome

  1. Exécutez:
    volume_key --save /path/to/volume -o escrow-packet
    Vous apercevrez alors une invite vous demandant une phrase secrète de paquet escrow pour protéger la clé.
  2. Sauvegarder le fichier escrow-packet, en veillant à ne pas oublier la phrase secrète.
Si la phrase secrète est oubliée, utiliser le paquet escrow enregistré pour restaurer l'accès aux données.

Procédure 19.2. Restaurer l'accès aux données par le paquet escrow

  1. Démarrer le système dans un environnement où volume_key peut être exécuté et où un paquet escrow est disponible (en mode de secours, par exemple).
  2. Exécutez:
    volume_key --restore /path/to/volume escrow-packet
    Vous apercevrez alors une invite vous demandant la phrase secrète de paquet escrow qui a été utilisée lors de la création du paquet, et pour la nouvelle phrase secrète du volume.
  3. Mounter le volume en utilisant la phrase secrète choisie.
Pour libérer l'espace phrase secrète de l'en-tête de LUKS du volume crypté, supprimer l'ancienne phrase secrète oubliée en exécutant la commande cryptsetup luksKillSlot.