Ste*_*eve 6 luks two-factor-authentication
是否可以使用 LUKS 使用两因素身份验证(使用密码和密钥文件解密)创建加密分区,就像在 truecrypt 中一样?
很抱歉之前没有人回答过您的问题。如果您仍然感兴趣,不,目前不可能;使您的密钥更安全的唯一方法是以下方法之一。
您可以使用每次启动时都会更改的“一次性密钥”。这些密钥通常是通过在 dm-crypt 设置期间读取 /dev/Xrandom 创建的。这种方式不会存储密钥,也不需要密码,但这种方法只能用于每次重新启动时都可以格式化的文件系统(例如 swap 或 /tmp,如果您不想保留存储在其中的信息)。对于交换设备上使用的一次性密钥,使用挂起到磁盘是不可能的。
您可以将密钥存储在可移动存储上。这样,只有在需要时才可以访问它。当存储被盗或复制时,您的数据就处于公开状态。
您可以从关键短语生成哈希值(== 伪随机数)并将其用作密钥。密钥根本不以这种方式存储在介质上,但您无法更改密码(然后会生成不同的密钥)。所有有权访问加密数据的人都需要知道该密码。这在多用户环境中有点不切实际。
您可以加密密钥。加密密钥存储在带有加密设备的计算机上。
您可以通过使用不同的密钥重新加密密钥来更改密码,并且可以为多个人加密同一密钥的多个副本。
您可以加密密钥并将其存储在可移动介质上。
您可以使用智能卡等。这是最安全的选择。
小智 1
我自己还没有尝试过,但您可以使用 Yubikey,配置为在第二个插槽中保存静态密码(最多 38 个字符)(第一个插槽是 OTP,您希望保留它以与密码管理器一起使用) )。
理论上,您可以输入较短、易于记忆的密码短语,然后将其附加来自 Yubikey 的静态密码。由于 Yubikey 看起来像 USB HID,只要在 BIOS 中启用了 USB 键盘支持,那么使用它就不会有问题。
| 归档时间: |
|
| 查看次数: |
7155 次 |
| 最近记录: |