다음 명령을 사용하여 Fedora 34를 실행하는 컴퓨터에서 LUKS2를 사용하여 외장 하드 드라이브를 암호화했습니다 cryptsetup.
이제 하드 드라이브를 연결하고 비밀번호를 입력하면 드라이브가 성공적으로 잠금 해제되어 파일에 액세스할 수 있습니다. 또한 FIDO2 보안 키를 사용하여 드라이브 잠금을 해제하고 싶습니다. 다음 명령을 사용하여 잠금 해제 옵션으로 키를 추가했습니다.
sudo systemd-cryptenroll --fido2-device=auto /dev/sdc1
이 파일의 문서에서 /etc/crypttab부팅 중에 해당 드라이브를 자동으로 잠금 해제하는 방법을 찾았습니다.
안타깝게도 FIDO2 키를 사용하여 해당 드라이브를 수동으로 잠금 해제하는 방법에 대한 문서를 찾지 못했습니다. 를 사용하여 잠금을 해제하려고 하면 cryptsetup open /dev/sdc1 myLuks비밀번호를 입력해야 합니다. 매뉴얼에서 이 두 가지와 유사한 매개변수를 cryptsetup찾을 수 없습니다 .--fido2-device
FIDO2 키를 사용하여 LUKS2 암호화 드라이브를 수동으로 잠금 해제하는 방법을 설명할 수 있습니까?
미리 감사드립니다
답변1
수동으로 장치 잠금을 해제할 수 있어야 합니다.systemd-cryptsetup
sudo /usr/lib/systemd/systemd-cryptsetup attach myLuks /dev/sdc1 - fido2-device=auto
이제 FIDO(또는 TPM2)를 사용하여 LUKS 장치를 잠금 해제할 수 없습니다 cryptsetup. 이는 systemd에서만 지원됩니다(LUKS 헤더에 "외부" 메타데이터를 추가할 수 있는 LUKS2 기능을 사용하지만 FIDO/TPM2를 사용하는 코드는 systemd에만 존재하므로 cryptsetup은 FIDO/TPM2에서 키를 가져오는 방법을 모릅니다. 이는 변경될 예정입니다. cryptsetup 2.4.0(아직 출시되지 않음, RC0은 현재 Fedora Rawhide 및 Debian Experimental에서 사용 가능)에 새로운 플러그인 인터페이스가 추가되고 cryptsetup openFIDO/TMP2(및 기타 "토큰")를 사용하여 장치를 자동으로 열 수 있습니다. " 향후 systemd에서 지원될 예정입니다.
답변2
Fedora 37 cryptsetup 2.5.0에서는 다음이 작동합니다.
sudo cryptsetup open --token-only /dev/sdb1 myLuks