키 파일과 암호 문구는 서로 다른 이점을 제공한다고 생각합니다. 동일한 방법으로 얻을 수 없습니다(하나는 개인적으로 얻어야 하고, 다른 하나는 알아야 함). 따라서 이 두 가지를 모두 사용하여 내 데이터를 암호화하면 큰 이점이 있다고 생각합니다. 이렇게 하면 누군가가 손상되더라도 암호화는 그대로 유지됩니다.
일반 모드에서 dm-crypt를 사용하면 둘 다 사용하고 싶습니다. 기본적으로 dm-crypt는 비밀번호를 사용하는데, 비밀번호를 키 파일로 쉽게 변경할 수 있습니다. 그러나 입력 유형은 동일한 것으로 보입니다(예: 키 파일이 제공되면 비밀번호가 됩니다). 따라서 --key-file과 --verify-passphrase를 함께 사용해도 아무런 효과가 없습니다.
둘 다 사용하는 해결 방법이 있습니까?
답변1
cryptsetup기억할 수 있는 다른 암호를 사용하여 GnuPG(또는 다른 도구)로 암호화된 파일에 실제 암호(매우 길고 복잡한 문자열일 수 있음)를 저장할 수 있습니다 .
먼저 암호화된 비밀번호 문자열을 사용하여 gpg암호화합니다 keyfile.
# echo 'long-long-passphrase-for-cryptsetup' | gpg -q -c --cipher-algo AES256 -o keyfile
Enter passphrase: <- Enter another passphrase you can remember
# file keyfile
keyfile: GPG symmetrically encrypted data (AES256 cipher)
그런 다음 keyfile암호를 해독하여 표준 입력에 제공합니다 cryptsetup --key-file -.
# gpg -qd keyfile | cryptsetup plainOpen --key-file - /path/to/image volname
유사한 제안은 다음에서 찾을 수 있습니다.비밀번호 설정 매뉴얼.
gpg -c단순화를 위해 위의 예에서는 대칭 암호화( )를 사용합니다. 공개키 암호화를 사용할 수 있다면 더욱 좋을 것 같아요!