[cryptsetup+luks] Luks Partition wird nicht mehr erkannt

[MrDeluxe]

Guten Tag,
ich musste mein debian neu aufsetzen und nun kann ich mein verschlüsseltes Device nicht mehr einbinden:

BIGWHOOP:/etc/keys# cryptsetup luksOpen /dev/sdb crypto
Enter LUKS passphrase:
Aufruf fehlgeschlagen: No key available with this passphrase.

Auch das löschen vom Schlüssel schlägt fehl:

BIGWHOOP:/etc/keys# cryptsetup luksDelKey /dev/sdb 0
luksDelKey is a deprecated action name.
Please use luksKillSlot.

WARNING!
========
This is the last keyslot. Device will become unusable after purging this key.

Are you sure? (Type uppercase yes): YES
Enter any remaining LUKS passphrase:
No remaining key available with this passphrase.
Aufruf fehlgeschlagen: /dev/sdb is not a LUKS partition

Kann es daran liegen das ich die Partition der Systemfestplatte geändert habe?

Habe diesen Kernel verwendet: 2.6.26-2-amd64


Wie kann ich mein crypto-device retten?

 

[flood]

Hi!

Bist du dir sicher, dass du die ganze Festplatte benutzt hast? Oder hast du eine Partition genutzt?

cryptsetup luksDump /dev/sdb1

Ich dachte du willst an die Daten, wieso willst du dann den Schlüssel entfernen? Lies mal genau die Ausgabe, die dort bestätigt hast.

WARNING!
========
This is the last keyslot. Device will become unusable after purging this key.

 

[MrDeluxe]

Bist du dir sicher, dass du die ganze Festplatte benutzt hast? Oder hast du eine Partition genutzt?

Ja habe die ganze HDD genutzt (ist eigentlich ein RAID5 Verbund)

Ich dachte du willst an die Daten, wieso willst du dann den Schlüssel entfernen? Lies mal genau die Ausgabe, die dort bestätigt hast.

Ja ich wollte damit demonstrieren, dass keine Luks Partition vorhanden ist.

 

[flood]

Ja habe die ganze HDD genutzt (ist eigentlich ein RAID5 Verbund)

[OT]
Der RAID5 liegt auf dem verschlüsselten Volume? Wäre das umgekehrt nicht sinnvoller gewesen?
[/OT]

Kannst du die anderen Festplatten entsperren?

 

[MrDeluxe]

Das komplette RAID5 ist verschlüsselt wurden!

Welche anderen Festplatten? Das System ist nicht verschlüsselt und mehr gibt es nicht.

System - unverschlüsselt
Raid-Verbund - verschlüsselt

 

[flood]

Raid-Verbund - verschlüsselt

cryptsetup luksDump /dev/md0

 

[MrDeluxe]

Es ist ein Hardware-Raid und wird als normale Sataplatte erkannt also /dev/sdb

 

[flood]

Es ist ein Hardware-Raid und wird als normale Sataplatte erkannt also /dev/sdb

Ach so

Hast du schon überprüft, ob der HW-RAID von Debian richtig erkannt wird und du das richtige Gerät/Device ansprichst?

fdisk -l

 

[MrDeluxe]

/dev/sdb ist wie gewohnt vorhanden, nur das ich es nicht mehr einbinden kann mit Luks, warum auch immer. Irgendwie muss der Header gelöscht wurden sein oder sonstwie. :/

 

[koschi]

Wurde bei der Neuinstllation evtl. der Bootloader nach /dev/sdb geschrieben?

Bei ner älteren Grub1 (0.97) Installation könnte das so aussehen:

root@frickelbude:~# dd if=/dev/sdb bs=4k count=1 | strings
1+0 Datensätze ein
1+0 Datensätze aus
4096 Bytes (4,1 kB) kopiert, 0,000210621 s, 19,4 MB/s
ZRrI
D|f1
GRUB
Geom
Hard Disk
Read
Error
#=;%
b=;%_
pPf1
Loading stage1.5
Geom
Read
Error
0.97
/boot/grub/stage2 /boot/grub/menu.lst

 

[flood]

Wurde bei der Neuinstllation evtl. der Bootloader nach /dev/sdb geschrieben?

Das wäre gar nicht gut:

Why is all my data gone if I overwrite the LUKS header?

Overwriting the LUKS header in part or in full is the most common reason why access to LUKS containers is lost permanently. Overwriting can be done in a number of fashions, like creating a new filesystem on the raw LUKS partition, making the raw partition part of a raid array and just writing to the raw partition.

The LUKS header contains a 256 bit "salt" value and without that no decryption is possible. While the salt is not secret, it is key-grade material and cannot be reconstructed. This is a cryptographically strong "cannot". From observations on the cryptsetup mailing-list, people typically go though the usual stages of grief (Denial, Anger, Bargaining, Depression, Acceptance) when this happens to them. Observed times vary between 1 day and 2 weeks to complete the cycle. Seeking help on the mailing-list is fine. Even if we usually cannot help with getting back your data, most people found the feedback comforting.

If your header does not contain an intact salt, best go directly to the last one ("Acceptance") and think about what to do now. There is one exception that I know of: If your LUKS container is still open, then it may be possible to extract the master key from the running system. Ask on the mailing-list on how to do that and make sure nobody switches off the machine.

[...]

What happens if I overwrite the start of a LUKS partition or damage the LUKS header or key-slots?

There are two critical components for decryption: The salt values in the header itself and the key-slots. If the salt values are overwritten or changed, nothing (in the cryptographically strong sense) can be done to access the data, unless there is a backup of the LUKS header. If a key-slot is damaged, the data can still be read with a different key-slot, if there is a remaining undamaged and used key-slot. Note that in order to make a key-slot unrecoverable in a cryptographically strong sense, changing about 4-6 bits in random locations of its 128kiB size is quite enough.

Quelle: cryptsetup - Frequently Asked Questions

Demnach würde ein Bootloader (440/446 bytes) ausreichen um das verschlüsselte Volume zu vernichten. Das Problem ist, dass er das ganze Gerät/Device benutzt hat. Mit einer Partition würde das nicht passieren, weil der LUKS header sich dann nicht in den ersten 512 bytes befände.

Normalerweise schreibt der debian installer den Bootloader nur auf dem Gerät, auf welchen auch Debian installiert wird.


Hast du denn luksDump mal ausprobiert? Wenn ich eine Partition mit luksOpen öffnen will, die keine LUKS-Partition ist, wird auch nicht nach einen Schlüssel gefragt.

Das gleiche passiert bei luksDelKey. Wenn das keine LUKS-Partition ist, dann wird auch keine Passphrase abgefragt:

root@pc:~# cryptsetup luksOpen /dev/sda1 crypto
root@pc:~# cryptsetup luksDelKey /dev/sda1 0
luksDelKey is a deprecated action name.
Please use luksKillSlot.
root@pc:~# cryptsetup luksKillSlot /dev/sda1 0
root@pc:~#

Habe das mit Ubuntu 10.04 ausprobiert:

root@pc:~# dpkg -l | grep cryptsetup
ii  cryptsetup                           2:1.1.0~rc2-1ubuntu13                           configures encrypted block devices

 

[MrDeluxe]

Also... ich hatte erst debian installiert da gings... dann auf ubuntu da gings auch noch... dann wieder auf debian umgestiegen da gings dann nicht mehr seltsamerweise...

fdisk - l

fdisk -l

WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util fdisk doesn't support GPT. Use GNU Parted.


Disk /dev/sda: 80.0 GB, 80000000000 bytes
255 heads, 63 sectors/track, 9726 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

Device Boot Start End Blocks Id System
/dev/sda1 1 9727 78124999+ ee EFI GPT

Disk /dev/sdb: 9999.9 GB, 9999944253440 bytes
255 heads, 63 sectors/track, 1215757 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Disk identifier: 0x00000000

Disk /dev/sdb doesn't contain a valid partition tabl

luksopen

cryptsetup luksOpen /dev/sdb crypto
Enter LUKS passphrase:
Aufruf fehlgeschlagen: No key available with this passphrase.

installation cryptsetup

dpkg -l | grep cryptsetup
ii cryptsetup 2:1.0.6-7 configures encrypted block devices

@koschi:

Wurde bei der Neuinstllation evtl. der Bootloader nach /dev/sdb geschrieben?

dd if=/dev/sdb bs=4k count=1 | strings
OOOOOOOO
1+0 Datensätze ein
1+0 Datensätze aus
4096 Bytes (4,1 kB) kopiert, 0,000275102 s, 14,9 MB/s

^^ mehr steht da aber nicht drinne

 

[flood]

^^ mehr steht da aber nicht drinne

Dann wurde dort schon mal kein GRUB installiert.

Und der Output von luksDump?

cryptsetup luksDump /dev/sdb

 

[MrDeluxe]

cryptsetup luksDump /dev/sdb
Aufruf fehlgeschlagen: /dev/sdb is not a LUKS partition

=(

 

[flood]

Hm, das ist nicht so gut.

Vielleicht hast du auf das Device ein anderes Dateisystem gepackt?

file -s /dev/sdb

Siehe auch: http://www.hardwareluxx.de/community/f211/sporadische-bootprobleme-761051.html#post16004250

 

[MrDeluxe]

file -s /dev/sdb
/dev/sdb: data

?

---------- Beitrag hinzugefügt um 00:21 ---------- Vorheriger Beitrag war Gestern um 22:55 ----------

Hier noch einige nützliche Fragen & Antworten zum Problem (danke an Flood)

# Welcher HW-RAID-Controller? Genaue Bezeichnung.
--> 3Ware 9550SXU
# Wie viele Festplatten?
--> 6 á 2TB
# Welche Distributionen hast du installiert? (Genaue Version und Architektur.)
--> debian 5.0.7 amd64 & ubuntu LTS 10.4 amd64
# Hast du in letzter Zeit etwas am RAID geändert?
--> NEIN!
# Läuft der RAID überhaupt noch? Gab es Festplattenausfälle?
--> Es läuft und es gab mal einen Drop einer HDD aber ist schon länger her.
# Irgendwelche Festplatten-Tools ausprobiert?
--> NEIN!
# SATA-Kabel umgesteckt?
--> JA, gab Probleme beim booten und im BIOS
# Systemabsturz gehabt?
--> Nein, keinen ungewollten.
# Wann genau konntest du nicht mehr auf das verschlüsselte Volume zugreifen?
--> nach dem ich von debian auf Ubuntu und wieder zurück auf debian gestiegen bin

 

[flood]

Laut file ist dort auch kein Dateisystem vorhanden.

# SATA-Kabel umgesteckt?
--> JA, gab Probleme beim booten und im BIOS

Konntest du nach dieser Aktion noch auf die Daten zugreifen?

Bin kein HW-RAID Nutzer, aber der RAID-Controller sollte doch die Festplatten auch nach dem Umstecken richtig zuordnen können, oder?

Benutzt du Tools unter Debian um den RAID-Status abzufragen? Ich habe beim Googeln das hier gefunden:

• 3Ware CLI Einführung
• Installation des 3ware Daemons (3dm2) unter Debian (Etch)
• Index of /

 

[MrDeluxe]

Konntest du nach dieser Aktion noch auf die Daten zugreifen?

Ja! Habe kein SATA Kabel vom Raid verändert sondern nur von der Systemplatte und des DVD-Laufwerks.

Raid läuft tadellos, das kann ich versichern. Und ja nutze die oben genannten Tools zur Überwachung.

 

[koschi]

Ich fürchte da bringt viel Hoffnung machen nichts und wir gehen zu Schritt 5 über, der Akzeptanz dass die Daten weg sind...

 

[flood]

Ich fürchte da bringt viel Hoffnung machen nichts und wir gehen zu Schritt 5 über, der Akzeptanz dass die Daten weg sind...

Jap. Allerdings sollte er versuchen die Ursache zu finden. So ein Datenschwund ist nicht normal.

Vielleicht ist etwas bei der Debian-Installation schief gegangen? Der Log der Installation liegt unter dem Verzeichnis /var/log/installer/.

Wenn du das selber nicht durchschauen kannst, lade es doch einfach irgendwo hoch:

tar -cjf log.tar.bz2 /var/log/installer/

 

[MrDeluxe]

EDIT: Fehlalarm... musste nur warten bis das RAID verschlüsselt ist.