보다 강력한 인증 확인을 용이하게 하기 위해 스마트 카드(OpenSC 사용)의 PKI 키를 eCryptFS 설치와 통합하려고 합니다.
파일 시스템의 비밀번호를 암호화하는 방법은 다음과 같습니다.
pkcs15-tool --read-public-key $KEYID > ~/userpub.key
<(generate 63 digit random string> | openssl rsautl -encrypt -inkey \
~/.userpub.key -pubin -out ~/.ecryptfskey
일단 암호화되면 이를 해독하는 유일한 방법은 스마트 카드에 있는 내보낼 수 없는 개인 키를 이용하는 것입니다.
이제 실제로 파일 시스템을 마운트하려면 다음을 수행하십시오.
exec 3<<<`pkcs15-crypt --raw --decipher --pkcs1 -k $KEYID -i ~/ecryptfskey`
mount -t ecryptfs $DIR $DIR -o key=passphrase:passphrase_passwd_fd=3,(etc)
또한 유사한 방법을 사용하여 다른 사용자의 공개 키를 사용하여 파일 시스템 비밀번호를 암호화하여 파일을 공유할 수 있습니다.
암호화되지 않은 키는 일회성 읽기를 위해 파일 설명자를 통해 설치 명령으로 연결되므로 이는 안전한 방법으로 보입니다. 내 접근 방식에 명백한 오류가 누락되었나요? 더 안전한 방법이 있나요?
주문형 사용을 위해 파일 수준 암호화를 활성화하려고 노력하고 있습니다. 우리 컴퓨터는 항상 켜져 있기 때문에 LUKS는 작동하지 않으므로 전체 드라이브 암호화는 쓸모가 없습니다.
(참고: 우리는 pkcs11-helper 없이 eCryptFS 버전을 사용하고 있습니다)