Luks 双因素身份验证

Luks 双因素身份验证

是否可以使用 LUKS 创建具有双因素身份验证(使用密码和密钥文件解密)的加密分区,就像在 truecrypt 中一样?

答案1

是的,这是可能的。正如@muldune 所说,您可以使用 Yubikey 通过 LUKS 执行 2FA 加密。请查看我在 AskUbuntu 上的回答

答案2

很抱歉之前没有人回答过您的问题。如果您仍然感兴趣,目前还不可能;唯一能让密钥更安全的方法就是以下方法之一。

  • 您可以使用每次启动时都会更改的“一次性密钥”。这些密钥通常是在 dm-crypt 设置期间通过读取 /dev/Xrandom 创建的。这种方式不会存储任何密钥,也不需要密码,但这种方法只能用于每次重新启动时都可以格式化的文件系统(例如 swap 或 /tmp,如果您不想保留存储在那里的信息)。如果在 swap 设备上使用一次性密钥,则无法使用挂起到磁盘。

  • 您可以将密钥存储在可移动存储中。这样,只有在需要时才可以访问。当存储被盗或被复制时,您的数据就会暴露在外。

  • 您可以从密钥短语生成哈希值(== 伪随机数)并将其用作密钥。密钥根本不存储在媒体上,但您无法更改密码短语(然后会生成不同的密钥)。所有有权访问加密数据的人都需要知道此密码短语。这在多用户环境中有点不切实际。

  • 您可以加密密钥。加密密钥与加密设备一起存储在计算机上。您可以通过使用
    其他密钥重新加密密钥来更改密码,并且可以为多个人加密同一密钥的多个副本。

  • 您可以加密密钥并将其存储在可移动媒体上。

  • 您可以使用智能卡等。这是最安全的选择。

答案3

我还没有亲自尝试过,但是你可以使用 Yubikey,配置为在第二个插槽中保存静态密码(最多 38 个字符)(第一个插槽是 OTP,你需要保留它以便与密码管理器一起使用)。

理论上,您可以输入较短、易记的密码短语,然后将 Yubikey 的静态密码附加在上面。由于 Yubikey 看起来像 USB HID,因此只要在 BIOS 中启用了 USB 键盘支持,您使用它就不会有问题。

答案4

看看这个,我的就是你想要的https://www.masarlabs.com/article/two-factor-luks-decrition/

相关内容