Для расшифровки LUKS-шифрованного диска требуется загрузка с LiveCD с установленными пакетами
После расшифровки диск монтируется, а в файле
Для корректной загрузки системы необходимо обновить
После чего выполняется chroot и команда
cryptsetup и cryptsetup-bin. Процесс снятия шифрования несколько различается для версий LUKS1 и LUKS2. Для LUKS1 используется команда cryptsetup reencrypt --decrypt /dev/sda5. Для LUKS2 необходимо указать файл для экспорта заголовков, например cryptsetup reencrypt --decrypt --header headers.out /dev/sda5. В случае прерывания расшифровки LUKS2, её можно возобновить командой cryptsetup reencrypt --decrypt --resume-only --header headers.out /dev/sda5. Изображение носит иллюстративный характер
После расшифровки диск монтируется, а в файле
/etc/crypttab удаляются записи, относящиеся к зашифрованному диску. Далее необходимо в файле /etc/fstab заменить запись с зашифрованного диска вида /dev/mapper/sda5_crypt на UUID расшифрованного диска. UUID можно узнать командой ls -l /dev/disk/by-uuid/ | grep sda5. Для корректной загрузки системы необходимо обновить
initramfs. Это можно сделать как в самой системе, так и через chroot. Для использования chroot нужно примонтировать загрузочный раздел (/dev/sda1), а также специальные каталоги: /dev, /dev/pts, /proc, /sys. После чего выполняется chroot и команда
update-initramfs -u. После выхода из chroot и перезагрузки система загрузится с расшифрованного диска. Если возникают задержки при загрузке, нужно проверить файл /etc/crypttab на наличие лишних записей.
