Le simple remplacement de l’en-tête de LUKS fonctionnera; écraser le lecteur entier est déjà excessif pour LUKS et prendrait peut-être des heures de plus.
L'en-tête de LUKS peut faire 1 Mo ou 2 Mo ou plus, en fonction du type et du nombre de clés. ArchWiki conseille d'effacer / écraser les 10 premiers Mo:
dd if=/dev/urandom of=/dev/sdx2 bs=512 count=20480
Notez la partition correcte sdx2 ou quoi que ce soit, vous pouvez vérifier avec un live dvd / usb et lsblk
ou blkid
et confirmer avec la cryptsetup
commande ci-dessous, cela vous dira si la partition sdx5, par exemple, est un périphérique LUKS:
cryptsetup -v isLuks /dev/sdx5
Également de ArchWiki:
Remarque: Il est essentiel d'écrire sur la partition chiffrée LUKS (/ dev / sdx5 dans cet exemple) et non directement sur le nœud du périphérique des disques. Si vous avez configuré le cryptage en tant que couche de mappeur de périphériques au-dessus d’autres, par exemple, LVM sur LUKS sur RAID puis écrivez sur RAID, respectivement.
Vous pouvez uniquement (ou en plus) supprimer tous les emplacements de clé luks, sans laisser de clé, si vous connaissez une phrase secrète qui fonctionne. Voir man cryptsetup
ou une version web ici , avec:
cryptsetup -v luksRemoveKey <device>
ou
cryptsetup -v luksKillSlot <device> <key slot number>
Notez également à propos des SSD (également de ArchWiki):
Lorsque vous effacez l'en-tête avec des données aléatoires, tout ce qui reste sur le périphérique est crypté. Une exception à cela peut se produire pour un disque SSD, en raison des blocs de cache que les disques SSD utilisent. En théorie, il peut arriver que l’en-tête ait été mis en cache quelque temps auparavant et que, par conséquent, cette copie soit toujours disponible après l’effacement de l’en-tête original. Pour des raisons de sécurité importantes, un effacement ATA sécurisé du disque SSD doit être effectué (voir la procédure à
suivre à la FAQ 5.19 de Cryptsetup ).
dd if=/dev/urandom of=/dev/sda bs=1M
ou quelque chose de similaire.