Keyserver для cryptsetup-luks

Question 1

У меня есть несколько машин дома: маленький nas, мой ноутбук, litte веб-сервер и т.д.

Некоторые из этих машин хранят мою всю цифровую жизнь - таким образом, я зашифровал почти каждый раздел. Для начальной загрузки устройств я должен ввести приблизительно 5 паролей к различным машинам.

Я ищу маленький ключевой сервер распределения: RPI (или что-то еще) базирующаяся система, которую я могу загрузить и разблокировать сначала и где другая машина может получить их файлы ключей от.

Аутентификация могла быть сделана ключевым автором SSH или x509-автором по HTTPS. В качестве награды машины могут автоматически заблокировать разделы, если keyserver недостижим для определенного количества времени или отправляет некоторый чрезвычайный сигнал.

Я не могу полагать, что никто не разработал такой инструмент...

Question 2

Я соединил довольно простое keyscript для получения ключей по HTTPS. Я пытался решить ту же проблему, я полагаю, что Вы - обеспечение машины против нецеленаправленного воровства при тихом разрешении перезагрузок, не имея необходимость разблокировать вручную каждый раз.

ключ хранится зашифрованный на другом сервере, и можно настроить стандартную аутентификацию довольно легко - ни одно из этого особенно не помогает, конечно, после того как кто-то украл соответствующую машину! необходимо будет все еще вручную ответить на воровство быстро путем создания ключей недоступными.

я предполагаю в Вашем сценарии, ожидание состояло бы в том, что кто-то завершал работу всех Ваших машин (примерно) в то же время, и что в любом случае 'keyserver' был только доступен в локальной сети.

(Мой сервер HTTP находится в общедоступном Интернете, но у меня есть использование ограниченного доступа GeoIP и мои диапазоны IP ISPs, которые могли бы обеспечить некоторую защиту, если я удачлив.)

<час>

Шифрование ключа в моем расположении, вероятно, не предоставляет много преимущества, я должен признать. (Но это не делает вещи намного более сложными.)

<час>

mandos является попыткой решить подобную проблему, но пытается гарантировать, что ключи будут сделаны недоступными быстро и автоматически если машина, будет казаться, была украдена. Это означает, что требует предположений о времени простоя и немного более замысловатой инфраструктуре.

stupidpupil · Answer 1 · 7 December 2019 в 15:39

Я соединил довольно простое keyscript для получения ключей по HTTPS. Я пытался решить ту же проблему, я полагаю, что Вы - обеспечение машины против нецеленаправленного воровства при тихом разрешении перезагрузок, не имея необходимость разблокировать вручную каждый раз.

ключ хранится зашифрованный на другом сервере, и можно настроить стандартную аутентификацию довольно легко - ни одно из этого особенно не помогает, конечно, после того как кто-то украл соответствующую машину! необходимо будет все еще вручную ответить на воровство быстро путем создания ключей недоступными.

я предполагаю в Вашем сценарии, ожидание состояло бы в том, что кто-то завершал работу всех Ваших машин (примерно) в то же время, и что в любом случае 'keyserver' был только доступен в локальной сети.

(Мой сервер HTTP находится в общедоступном Интернете, но у меня есть использование ограниченного доступа GeoIP и мои диапазоны IP ISPs, которые могли бы обеспечить некоторую защиту, если я удачлив.)

<час>

Шифрование ключа в моем расположении, вероятно, не предоставляет много преимущества, я должен признать. (Но это не делает вещи намного более сложными.)

<час>

mandos является попыткой решить подобную проблему, но пытается гарантировать, что ключи будут сделаны недоступными быстро и автоматически если машина, будет казаться, была украдена. Это означает, что требует предположений о времени простоя и немного более замысловатой инфраструктуре.

Keyserver для cryptsetup-luks

1 ответ

Другие вопросы по тегам:

Похожие вопросы: