FIDO2 보안 토큰은 부팅 시 Linux 컴퓨터의 모든 디스크를 해독하는 데 사용해야 합니다. systemd에서는 버전 248부터 이를 허용합니다.
전체 디스크 암호화에 LUKS를 사용하는 경우 부팅 후 FIDO2 보안 토큰을 제거할 수 있습니까? 아니면 디스크를 읽기/쓰기 작업에 사용할 수 있도록 연결 상태를 유지해야 합니까?
답변1
모든 디스크 작업에서 외부 FIDO2 토큰에 액세스하면 암호화된 디스크 장치가 매우 느려지고 거의 사용할 수 없게 됩니다.
LUKS를 사용하면 모든 비밀번호, FIDO2 토큰 또는 기타 암호화 잠금 해제 방법을 사용하여 LUKS 헤더의 키 슬롯 중 하나에서 암호화된 마스터 키를 해독할 수 있습니다. 그런 다음 이 마스터 키는 블록 지향 사용에 적합한 대칭 암호와 함께 사용되며, 이 암호는 암호화된 장치의 LUKS 헤더 외부에 있는 모든 블록을 암호화/해독하는 데 사용됩니다.
장치의 잠금이 해제되면 암호화된 장치에 액세스하려면 해독된 마스터 키를 RAM에 저장해야 합니다. 따라서 보안 토큰을 제거해도 LUKS 장치 마스터 키에 대한 커널 액세스는 제거되지 않습니다. 그래서 대답은,예, 토큰을 삭제할 수 있습니다.
물론, 토큰이 삭제될 때 암호화 장치에 대한 액세스를 중지하고 메모리의 키를 파기하는 데 필요한 단계를 수행하는 감시 프로그램을 구현하는 것도 가능합니다. 그러나 systemd-cryptsetup필요한 경우 이러한 감시 프로그램은 암호화된 장치의 종료를 방지할 수 있는 모든 프로세스를 처리할 준비가 되어 있어야 합니다 kill -9. 그렇지 않으면 장치의 빠른 종료가 보장되지 않습니다.