Red Hat Training

A Red Hat training course is available for RHEL 8

17.2. Versões LUKS em RHEL 8

No RHEL 8, o formato padrão para criptografia LUKS é LUKS2. O formato antigo LUKS1 permanece totalmente suportado e é fornecido como um formato compatível com os lançamentos anteriores da RHEL.

O formato LUKS2 é projetado para permitir futuras atualizações de várias partes sem a necessidade de modificar estruturas binárias. O LUKS2 usa internamente o formato de texto JSON para metadados, fornece redundância de metadados, detecta corrupção de metadados e permite reparos automáticos a partir de uma cópia de metadados.

Importante

Não use LUKS2 em sistemas que precisam ser compatíveis com sistemas legados que suportam apenas LUKS1. Note que a RHEL 7 suporta o formato LUKS2 desde a versão 7.6.

Atenção

LUKS2 e LUKS1 usam comandos diferentes para criptografar o disco. O uso do comando errado para uma versão LUKS pode causar perda de dados.

Versão LUKSComando de encriptação

LUKS2

cryptsetup reencrypt

LUKS1

cryptsetup-reencrypt

Reencriptação on-line

O formato LUKS2 suporta a re-encriptação de dispositivos criptografados enquanto os dispositivos estão em uso. Por exemplo, não é necessário desmontar o sistema de arquivo no dispositivo para realizar as seguintes tarefas:

  • Alterar a chave de volume
  • Alterar o algoritmo de criptografia

Ao criptografar um dispositivo não criptografado, você ainda deve desmontar o sistema de arquivo. Você pode montar novamente o sistema de arquivo após uma breve inicialização da criptografia.

O formato LUKS1 não suporta a reencriptação on-line.

Conversão

O formato LUKS2 é inspirado no LUKS1. Em certas situações, você pode converter LUKS1 para LUKS2. A conversão não é possível especificamente nos seguintes cenários:

  • Um dispositivo LUKS1 é marcado como sendo usado por uma solução de decriptação baseada em políticas (PBD - Clevis). A ferramenta cryptsetup se recusa a converter o dispositivo quando alguns metadados luksmeta são detectados.
  • Um dispositivo está ativo. O dispositivo deve estar no estado inativo antes que qualquer conversão seja possível.