我已经使用 FIDO2 设置了 luks 卷解锁以及使用 sd-cryptenroll 的恢复密钥:
systemd-cryptenroll --fido2-device=auto /dev/my-luks-device
插槽配置如下:
SLOT TYPE
1 recovery
3 fido2
一切正常,但以一种奇怪的方式:在启动时,我首先被要求提供恢复密钥,然后我按了几次回车键,基本上恢复密钥失败了,然后只有在用户存在的情况下才会提示我输入 fido2。
我想知道这是否与插槽顺序有关,尽管手册页没有提及任何相关内容。实际上,在尝试 FIDO 之前我已经设置了 TPM2 解锁,即使 TPM 设置为插槽 2,我也从未首先被要求提供恢复密钥,因此这可能不是这里的问题。
任何帮助将不胜感激,谢谢!
答案1
我的 FIDO2 设备采用 Yubikey 的形式。它必须在启动前已连接到计算机,以便询问用户是否存在。如果不这样做,我会收到输入密码的提示。
但是,如果注册设置为需要 PIN,则在出现密码提示后即可连接 Yubikey。然后输入 PIN 码(而不是密码)即可解锁该卷。
作为参考,我用 Fedora 做了这个,然后遵循这个程序设置该功能。