FIDO2 安全令牌应用于在启动时解密 Linux 计算机中的所有磁盘。 systemd 从版本 248 开始允许这样做。
使用 LUKS 进行全磁盘加密时,FIDO2 安全令牌是否可以在启动后删除,或者是否需要保持插入状态才能使磁盘可用于读/写操作?
答案1
在每次磁盘操作上访问外部 FIDO2 令牌都会使加密磁盘设备变得非常慢,甚至几乎无法使用。
使用 LUKS,任何密码、FIDO2 令牌或其他解锁加密的方法都可用于从 LUKS 标头中的密钥槽之一解密加密的主密钥。然后将该主密钥与适合面向块的使用的对称密码一起使用;然后,该密码用于加密/解密加密设备上 LUKS 标头之外的任何块。
一旦设备解锁,解密的主密钥必须保存在 RAM 中才能访问加密的设备。因此,拔出安全令牌不会删除内核对 LUKS 设备主密钥的访问权限。所以答案是,是的,可以删除令牌。
当然,可以实现一个看门狗程序,该程序将执行必要的步骤来停止访问加密设备并在令牌删除时销毁内存中的密钥。但这将与systemd-cryptsetup.如有必要,这样的看门狗程序必须准备好应对kill -9任何可能妨碍关闭加密设备的进程:否则它将无法保证快速关闭设备。