Двухфакторная аутентификация Luks

Question 1

Можно ли создать зашифрованный раздел с двухфакторной аутентификацией (дешифрование паролем и файлом ключа) с помощью LUKS, как в truecrypt?

Question 2

Я сам еще не пробовал, но вы можете использовать Yubikey, настроенный для хранения статического пароля (до 38 символов) во втором слоте (первый слот - это OTP, который вы хотите сохранить для использования менеджер паролей).

Теоретически вы вводите более короткую, легко запоминающуюся фразу, парольную фразу и затем добавляете ее со статическим паролем от Yubikey. Поскольку Yubikey выглядит как USB HID, у вас не должно возникнуть проблем с его использованием, если в BIOS включена поддержка USB-клавиатуры.

Question 3

Question 4

Посмотри на это, будь тем, что ты хочешь https://www.masarlabs.com/article/two-factor-luks-decription/

Question 5

Да, это возможно. Как уже упоминалось @muldune, вы можете использовать Yubikey для шифрования 2FA с помощью LUKS. Посмотрите мой ответ на AskUbuntu здесь .

Question 6

Извините, никто не ответил ранее на ваш вопрос. Если вы все еще заинтересованы, нет, это не возможно в настоящее время; единственный способ сделать ваш ключ более безопасным - это один из следующих способов.

Вы можете использовать «одноразовый ключ», который меняется при каждом запуске. Эти ключи обычно создаются путем чтения / dev / Xrandom во время установки dm-crypt. Таким образом, ключ не сохраняется и парольная фраза не требуется, но этот метод может использоваться только в файловых системах, которые могут быть отформатированы при каждой перезагрузке (например, swap или, возможно, / tmp, если вы не хотите сохранять информацию, хранящуюся там). Использование приостановки на диск будет невозможно с одноразовыми ключами, используемыми на устройстве подкачки.
Вы можете хранить ключ на съемном носителе. Таким образом, он доступен только при необходимости. Ваши данные находятся в открытом доступе, когда хранилище украдено или скопировано.
Вы можете сгенерировать хеш-значение (== псевдослучайное число) из ключевой фразы и использовать его в качестве ключа. Этот ключ вообще не хранится на носителе, но вы не можете изменить фразу-пароль (тогда генерируется другой ключ). Все люди, имеющие доступ к зашифрованным данным, должны знать эту фразу-пароль. Это несколько непрактично в многопользовательской среде.
Вы можете зашифровать ключ. Зашифрованный ключ хранится на компьютере с зашифрованным устройством. Вы можете изменить фразу-пароль путем
повторного шифрования ключа другим, и вы можете иметь несколько копий одного и того же ключа в зашифрованном виде для нескольких человек.
Вы можете зашифровать ключ и сохранить его на съемном носителе.
Вы можете использовать смарт-карты и т. Д. Это наиболее безопасный вариант.

muldune · Answer 1 · 5 September 2018 в 21:06

Я сам еще не пробовал, но вы можете использовать Yubikey, настроенный для хранения статического пароля (до 38 символов) во втором слоте (первый слот - это OTP, который вы хотите сохранить для использования менеджер паролей).

Теоретически вы вводите более короткую, легко запоминающуюся фразу, парольную фразу и затем добавляете ее со статическим паролем от Yubikey. Поскольку Yubikey выглядит как USB HID, у вас не должно возникнуть проблем с его использованием, если в BIOS включена поддержка USB-клавиатуры.

masar · Answer 2 · 5 September 2018 в 21:06

Посмотри на это, будь тем, что ты хочешь https://www.masarlabs.com/article/two-factor-luks-decription/

0

ответ дан masar 5 September 2018 в 21:06

Community · Answer 3 · 5 September 2018 в 21:06

Да, это возможно. Как уже упоминалось @muldune, вы можете использовать Yubikey для шифрования 2FA с помощью LUKS. Посмотрите мой ответ на AskUbuntu здесь .

BrownE · Answer 4 · 5 September 2018 в 21:06

Извините, никто не ответил ранее на ваш вопрос. Если вы все еще заинтересованы, нет, это не возможно в настоящее время; единственный способ сделать ваш ключ более безопасным - это один из следующих способов.

Вы можете использовать «одноразовый ключ», который меняется при каждом запуске. Эти ключи обычно создаются путем чтения / dev / Xrandom во время установки dm-crypt. Таким образом, ключ не сохраняется и парольная фраза не требуется, но этот метод может использоваться только в файловых системах, которые могут быть отформатированы при каждой перезагрузке (например, swap или, возможно, / tmp, если вы не хотите сохранять информацию, хранящуюся там). Использование приостановки на диск будет невозможно с одноразовыми ключами, используемыми на устройстве подкачки.
Вы можете хранить ключ на съемном носителе. Таким образом, он доступен только при необходимости. Ваши данные находятся в открытом доступе, когда хранилище украдено или скопировано.
Вы можете сгенерировать хеш-значение (== псевдослучайное число) из ключевой фразы и использовать его в качестве ключа. Этот ключ вообще не хранится на носителе, но вы не можете изменить фразу-пароль (тогда генерируется другой ключ). Все люди, имеющие доступ к зашифрованным данным, должны знать эту фразу-пароль. Это несколько непрактично в многопользовательской среде.
Вы можете зашифровать ключ. Зашифрованный ключ хранится на компьютере с зашифрованным устройством. Вы можете изменить фразу-пароль путем
повторного шифрования ключа другим, и вы можете иметь несколько копий одного и того же ключа в зашифрованном виде для нескольких человек.
Вы можете зашифровать ключ и сохранить его на съемном носителе.
Вы можете использовать смарт-карты и т. Д. Это наиболее безопасный вариант.

Двухфакторная аутентификация Luks

4 ответа

Другие вопросы по тегам:

Похожие вопросы: