Luks 双因素身份验证

Question 1

是的，这是可能的。正如@muldune 所说，您可以使用 Yubikey 通过 LUKS 执行 2FA 加密。请查看我在 AskUbuntu 上的回答。

Answer

是的，这是可能的。正如@muldune 所说，您可以使用 Yubikey 通过 LUKS 执行 2FA 加密。请查看我在 AskUbuntu 上的回答。

Question 2

很抱歉之前没有人回答过您的问题。如果您仍然感兴趣，目前还不可能；唯一能让密钥更安全的方法就是以下方法之一。

您可以使用每次启动时都会更改的“一次性密钥”。这些密钥通常是在 dm-crypt 设置期间通过读取 /dev/Xrandom 创建的。这种方式不会存储任何密钥，也不需要密码，但这种方法只能用于每次重新启动时都可以格式化的文件系统（例如 swap 或 /tmp，如果您不想保留存储在那里的信息）。如果在 swap 设备上使用一次性密钥，则无法使用挂起到磁盘。
您可以将密钥存储在可移动存储中。这样，只有在需要时才可以访问。当存储被盗或被复制时，您的数据就会暴露在外。
您可以从密钥短语生成哈希值（== 伪随机数）并将其用作密钥。密钥根本不存储在媒体上，但您无法更改密码短语（然后会生成不同的密钥）。所有有权访问加密数据的人都需要知道此密码短语。这在多用户环境中有点不切实际。
您可以加密密钥。加密密钥与加密设备一起存储在计算机上。您可以通过使用
其他密钥重新加密密钥来更改密码，并且可以为多个人加密同一密钥的多个副本。
您可以加密密钥并将其存储在可移动媒体上。
您可以使用智能卡等。这是最安全的选择。

Answer

很抱歉之前没有人回答过您的问题。如果您仍然感兴趣，目前还不可能；唯一能让密钥更安全的方法就是以下方法之一。

您可以使用每次启动时都会更改的“一次性密钥”。这些密钥通常是在 dm-crypt 设置期间通过读取 /dev/Xrandom 创建的。这种方式不会存储任何密钥，也不需要密码，但这种方法只能用于每次重新启动时都可以格式化的文件系统（例如 swap 或 /tmp，如果您不想保留存储在那里的信息）。如果在 swap 设备上使用一次性密钥，则无法使用挂起到磁盘。
您可以将密钥存储在可移动存储中。这样，只有在需要时才可以访问。当存储被盗或被复制时，您的数据就会暴露在外。
您可以从密钥短语生成哈希值（== 伪随机数）并将其用作密钥。密钥根本不存储在媒体上，但您无法更改密码短语（然后会生成不同的密钥）。所有有权访问加密数据的人都需要知道此密码短语。这在多用户环境中有点不切实际。
您可以加密密钥。加密密钥与加密设备一起存储在计算机上。您可以通过使用
其他密钥重新加密密钥来更改密码，并且可以为多个人加密同一密钥的多个副本。
您可以加密密钥并将其存储在可移动媒体上。
您可以使用智能卡等。这是最安全的选择。

Question 3

我还没有亲自尝试过，但是你可以使用 Yubikey，配置为在第二个插槽中保存静态密码（最多 38 个字符）（第一个插槽是 OTP，你需要保留它以便与密码管理器一起使用）。

理论上，您可以输入较短、易记的密码短语，然后将 Yubikey 的静态密码附加在上面。由于 Yubikey 看起来像 USB HID，因此只要在 BIOS 中启用了 USB 键盘支持，您使用它就不会有问题。

Answer

我还没有亲自尝试过，但是你可以使用 Yubikey，配置为在第二个插槽中保存静态密码（最多 38 个字符）（第一个插槽是 OTP，你需要保留它以便与密码管理器一起使用）。

理论上，您可以输入较短、易记的密码短语，然后将 Yubikey 的静态密码附加在上面。由于 Yubikey 看起来像 USB HID，因此只要在 BIOS 中启用了 USB 键盘支持，您使用它就不会有问题。

Question 4

Answer

相关内容