使用 USB 上的密钥文件解锁 LUKS 分区不起作用

对我来说，如果能有一个包含密码的小型 USB 棒来解锁磁盘，那就太理想了。这不仅对服务器很方便（您可以将 USB 棒留在服务器中 - 目标是能够返回损坏的硬盘而不必担心机密数据），而且对我的笔记本电脑也很有用：启动时插入 USB 棒，解锁加密磁盘后将其移除。

我现在已经编写了一个补丁，它将在所有设备的根目录中搜索文件“cryptkey.txt”，并尝试使用每行作为密钥进行解密。如果失败：恢复输入密码短语。

这确实意味着密钥不能包含 \n，但这也适用于任何输入的密钥。好处是您可以使用同一个 USB 磁盘来存储多台机器的密钥：您不需要为每台机器单独准备一个 USB 磁盘。因此，如果您的物理密钥环中有一个 USB 驱动器，那么当物理上接近时，您可以为启动的所有机器使用同一个驱动器。

您可以使用以下命令添加密钥：

cryptsetup luksAddKey /dev/sda5

然后将相同的密钥作为一行放入 USB/MMC 磁盘上名为“cryptkey.txt”的文件中。补丁在这里：

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=746806

如果您的 initramfs 中没有 USB 驱动程序、MMC 驱动程序或文件系统，则需要通过添加到 /etc/initramfs-tools/modules 来添加它们：

uhci_hcd
ehci_hcd
usb_storage
nls_utf8
nls_cp437
vfat
fat
sd_mod
mmc_block
tifm_sd
tifm_core
mmc_core
tifm_7xx1
sdhci
sdhci_pci

完成所有操作后，更新 initramfs：

update-initramfs -u

使用安装程序创建使用 16.04 和 18.04 密码的加密设备后，您必须添加以下内容（似乎与漏洞)：

启动时读取密钥的脚本/etc/decryptkeydevice/decryptkeydevice.sh

更改配置/etc/initramfs-tools/conf.d/cryptroot

诱使 initramfs 使用 cryptroot 文件/etc/initramfs-tools/hooks/decryptkeydevice.hook

并修改 initramfs/etc/initramfs-tools/模块

https://github.com/Codeuctivity/UnlockLuksOnBootByToken将 initAutoUnlockOnBootConfig.sh 中的步骤放在一起 - 以 root 身份执行：

sudo dd if=/dev/urandom of=/dev/sdb bs=512 seek=1 count=60 

sudo dd if=/dev/sdb bs=512 skip=1 count=4 > tempKeyFile.bin 

sudo cryptsetup luksAddKey /dev/sda5 tempKeyFile.bin 

# copy config
mkdir /etc/decryptkeydevice
# update device ids in in this file
cp decryptkeydevice.sh /etc/decryptkeydevice/decryptkeydevice.sh
chmod +x /etc/decryptkeydevice/decryptkeydevice.sh

cp cryptroot /etc/initramfs-tools/conf.d/cryptroot
chmod +x /etc/initramfs-tools/conf.d/cryptroot

cp decryptkeydevice.hook /etc/initramfs-tools/hooks/decryptkeydevice.hook
chmod +x /etc/initramfs-tools/hooks/decryptkeydevice.hook

cat modules >> /etc/initramfs-tools/modules

update-initramfs -u