USB 드라이브에 설치된 고유 시스템(사전 설치된 Debian Bullseye)에서만 액세스할 수 있도록 Linux 내부 디스크를 암호화하려면 어떻게 해야 합니까? 누군가가 암호화된 비밀번호와 물리적 액세스 권한을 갖고 있다고 해도 다른 시스템을 보관하는 USB 드라이브 없이는 액세스할 수 없어야 합니다.
이를 수행할 수 있는 방법이 있습니까?
답변1
누군가가 암호화된 비밀번호를 가지고 있더라도 USB 드라이브(사전 설치된 데비안 불스아이)에 설치된 유일한 시스템에서만 작동합니다.
아니요.암호화에서 암호화의 보안은 항상 키의 기밀성에 의해 제공됩니다.안 돼요누군가에게 암호 해독 소프트웨어를 제공하지 마십시오. 결국 이것이 필요한 전부입니다. 올바른 소프트웨어만이 드라이브의 암호를 해독할 수 있습니다.
하지만 귀하의 질문을 약간 바꿔보면 이 질문에 긍정적으로 답할 수 있을 것 같습니다.
USB 드라이브를 가진 사람만 암호를 해독할 수 있도록 USB 드라이브에 암호 해독 키를 넣을 수 있나요?
예, 이것은 꽤 표준적입니다. 그냥 따라 가라하나LUKS 키를 외부 USB 드라이브에 넣는 방법에 대한 많은 가이드가 있으므로 바로 사용할 수 있습니다.
또한 USB 드라이브에 저장된 모든 항목은 복사될 수 있습니다. USB 드라이브는 단지 "멍청한" 저장소일 뿐입니다. 따라서 재현할 수 없는 것이 필요한 경우에도 이 방법은 해결책이 아닙니다.
복제할 수 없는 암호화 장치(예: 키 자체를 포함하고 내부적으로 암호 해독을 수행하며 키 자체를 유출하지 않는 장치)가 필요합니다. 이를 통해 키 액세스 카드를 유출하지 않고도 암호 해독이 유출될 수 없도록 할 수 있습니다. (다른 사람이 드라이브 암호화 설정을 변경하도록 허용하지 않는 한 다른 키를 추가할 수 있기 때문입니다. 하지만 이는 또 다른 이야기입니다.)
그러면 사용하려는 장치 유형(니트로 키, TPM2 장치, FIDO 키...)에 따라 약간 구체적이게 되지만 검색할 용어는 "LUKS + {장치 이름}"입니다.