cryptsetup-luks 的密钥服务器

cryptsetup-luks 的密钥服务器

我家里有几台机器:一个小型 nas、我的笔记本、一个小型网络服务器等等。

有些机器存储了我所有的数字生活 - 所以我加密了几乎每个分区。要启动这些设备,我必须输入大约 5 个密码才能启动不同的机器。

我正在寻找一个小型密钥分发服务器:一个基于 RPI(或其他)的系统,我可以先启动和解锁它,另一台机器可以从那里获取他们的密钥文件。

身份验证可以通过 SSH 密钥身份验证或 HTTP 上的 x509 身份验证完成。作为额外奖励,如果密钥服务器在特定时间内无法访问或发送某种紧急信号,机器可能会自动锁定分区。

我不敢相信没有人开发这样的工具......

答案1

我整理了一个相当简单的用于通过 HTTPS 检索密钥的 keyscript。我想解决的问题和你一样——保护机器免遭无针对性的盗窃,同时仍允许重新启动,而不必每次都手动解锁。

密钥以加密形式存储在另一台服务器上,您可以相当轻松地配置基本身份验证 - 当然,一旦有人窃取了相关机器,这些都没有什么帮助!您仍然需要手动使钥匙不可用,以快速应对盗窃行为。

我想在您的场景中,预期的是有人会在(大约)同一时间关闭您的所有机器,并且在任何情况下“密钥服务器”仅在本地网络上可用。

(我的 HTTP 服务器位于公共互联网上,但我使用 GeoIP 和我的 ISP IP 范围限制了访问,如果我幸运的话,这可能会提供一些保护。)


我必须承认,在我的安排中加密密钥可能不会带来太多好处。(但它不会让事情变得更加复杂。)


曼陀罗是解决类似问题的尝试,但尝试确保当机器似乎被盗时,密钥将快速自动不可用。这意味着它需要对停机时间做出假设,并且需要稍微复杂的基础设施。

相关内容