비밀번호 없는 Luks 암호화

이는 실망스러울 정도로 까다로운 주제이며 설정 방법에 대한 명확한 단계별 가이드를 제공할 수 있는지 확신할 수 없습니다. 하지만 이 질문은 3년이 지났고 아직 좋은 답변이 없다는 점을 고려하여 개요를 알려드리겠습니다.

빈 암호화 비밀번호로 드라이브를 암호화하는 것이 좋은 생각입니까?

아니요.

다른 사람들이 언급했듯이 유일한 실제 사용 사례는 데이터를 매우 빠르게 읽을 수 없게 만드는 것입니다. 그러나 암호화 목적으로는 전혀 작동하지 않습니다. 이는 마치 거대한 하이테크 금고 문을 설치한 다음 앞면에 테이프로 붙인 메모지에 비밀번호를 남겨 두는 것과 같습니다. 아무리 두꺼운 문이라도 누구나 들어갈 수 있습니다.

이는 좋은 생각이 아닙니다.

비트락은 어떻습니까?

Bitlocker에는 비밀번호가 있거나 오히려 키가 있습니다. 이 키는 마더보드에 저장되어 있습니다.완전한 생산 관리. 컴퓨터에서 하드 드라이브를 꺼내 다른 컴퓨터에 넣으면 데이터를 읽을 수 없습니다.

게다가 TPM은 "봉인"되어 있으므로 부팅 순서가 변조되더라도 암호화 키를 제공하지 않습니다. 따라서 공격자는 TPM을 속여 키를 발급하도록 컴퓨터의 암호화되지 않은 시작 코드를 조작할 수 없습니다.

Linux에서 TPM을 사용하는 방법은 무엇입니까?

첫 번째이해하는 시간을 가져라TPM이란 무엇이며 PCR이란 무엇입니까?특히각 PRC는 무엇을 측정하나요?(보호하다).

PCR 선택에 따라 키를 봉인하도록 TPM을 구성할 수 있습니다. 공격자가 부팅 순서를 수정하지 못하도록 부팅 순서를 이해하고 올바른 PCR을 사용하고 있는지 확인하는 것은 사용자의 책임입니다.

⚠️경고하다⚠️ 올바른 PCR로 부팅 순서를 제대로 보호하지 않으면 공격자가 간단히루트 비밀번호를 재설정하세요그런 다음 모든 데이터를 읽으십시오. 당신은 경고를 받았습니다!

두번째, 자신이 하고 있는 일에 대해 확신이 생기면 다음을 사용할 수 있습니다.systemd-cryptenrollLUKS 파티션에 새 키를 추가하고 동일한 키를 시스템 TPM에 포함합니다.

사용하는 PCR에 따라 새 커널을 설치하거나, ​​grub을 업데이트하거나, initramfs를 업데이트할 때마다 이 작업을 수행해야 할 수도 있습니다.

제삼이렇게 하면 키를 계속해서 다시 등록하는 것을 피할 수 있습니다.모든 grub 파일에 서명그리고 공개 키를 EFI의 그럽 스텁에 포함시킵니다. 이론적으로 이를 통해 더 적은 수의 PCR을 포함하고 서명을 사용하여 grub 구성을 보호할 수 있습니다.

TPM은 완벽한가요?

아니요

공격자가 마더보드에서 TPM을 제거하거나 프로브를 연결할 수 있는 경우 시스템을 부팅할 때 구리선에서 직접 키를 읽을 수 있습니다. 쉽다고 말하는 것은 아니지만 TPM이 완전히 견고하지는 않다는 점에 유의하세요.

TPM 사용의 대안

키를 파일에 별도로 저장할 수 있습니다. 예: 가장 안전하지 않은 방법은 키 파일이 포함된 USB 드라이브를 키체인에 놓은 다음 노트북에 연결하는 동안 연결하는 것입니다.

더욱 안전한 것은 전용 스마트 카드 장치(예:유비 키)은 귀하의 키를 안전하게 보관하고 절대 공개하지 않을 수 있습니다. 스마트 카드 자체가 일부 콘텐츠의 암호를 해독합니다. 이 부분은 제가 개인적으로 많이 조사해 본 적이 없어서 더 이상의 조언을 쉽사리 드릴 수 없는 부분입니다.

다음 명령을 사용하여 볼륨을 생성할 수 있습니다.

cryptsetup luksFormat /dev/loop0 /dev/zero --keyfile-size 32

시작하는 동안 실행합니다.

cryptsetup luksOpen /dev/loop0 cr_test --key-file /dev/zero --keyfile-size 32

볼륨이 이미 생성되었으므로 키를 추가해야 합니다.

cryptsetup luksAddKey /dev/loop0 --key-file /dev/zero --keyfile-size 32 --iter-time 1