暗号鍵ファイルをどこに保存する必要がありますか?

暗号鍵ファイルをどこに保存する必要がありますか?

/bootを除くすべてのシステムにLUKSを使用し、/home/userディレクトリも暗号化されているとします。自分のユーザーアカウントがより安全な場合(ルートからより隔離されている場合)、暗号化されたドライブをすばやくマウントするためにキーファイルを保存する別の暗号化されたコンテナを作成する必要がありますか?

最初は、ユーザーアカウントにログインしたときにドライブを自動的にマウントしたかったのですが、それほど安全ではないようです。まず、サムドライブを復号化/マウントできるように、サムドライブを暗号化してここにキーを保存する方が良いですか?

この提案を見ました。ここそしてここしかし、これは次の質問を引き起こします:私のユーザーアカウントのコンテキストでキーファイルを含むドライブのパスワードを復号化すると、/home/userのどこかに保存するよりも安全ですか?

答え1

暗号化されたボリュームと同じ場所にキーファイルを保存することは役に立ちません。暗号化は、復号化キーが暗号化されたボリュームとは別に、ヘッド、リムーバブルデバイス(USBキー、スマートカードなど)に保存されている場合にのみ便利です。

(キーが同じ場所に保存されている場合は、暗号化をまだ便利にする方法があります。クイッククリア。ボリューム全体を消去せずにキーを消去して、暗号化されたボリュームのデータを効果的に消去できます。ただし、非主流です。)

フルディスク暗号化を使用するには、起動時に何らかの方法で復号化キーを入力する必要があります。したがって、パスワードを入力するか、キーファイルを含むリムーバブルデバイスを挿入する必要があります。

暗号化は、コンピュータの残りの部分があるかどうかにかかわらず、ディスクを盗む人にのみ役立ちます。これは、コンピュータで実行されているソフトウェアから保護しません。オペレーティングシステムの分離およびアクセス制御メカニズムがこれを行います。システムが起動したら、コンピュータの盗難を防止する方法はスクリーンロックです。

シングルユーザーシステムの場合、ディスク全体の暗号化以外の暗号化が役に立つ状況はあまりありません。攻撃者が自分のアカウントにアクセスでき、すべてのファイルにアクセスできるか、攻撃者が自分のアカウントにアクセスできず、コンピュータにディスクを挿入する以外に何もアクセスできないため、暗号化されたディスクが残ります。仮定)。キーはディスクと一緒に盗まれませんでした。)復号化できません。

特定のファイルが特に機密で頻繁に使用されていないと思う場合は、2番目の暗号化層を使用すると利点がある可能性があります。その場合は、別のパスワードで暗号化してください。これにより、コンピュータがマルウェアに感染している場合、マルウェアはすべての機密ファイルにアクセスできなくなり、マルウェアが見つかる前に復号化キーを入力したファイルにのみアクセスできます。

2番目の暗号化層のもう1つの利点は、比較的洗練された攻撃者がコンピュータを盗み、コンピュータの実行中にRAMからキーを抽出するのを防ぐことです。コンピュータの前にないときに復号化されたボリュームを取り外すようにコンピュータを設定すると、これを防ぐことができます。システムファイルに引き続きアクセスできる必要があるため(ディスク全体の暗号化をスキップしてプライベートファイルのみを暗号化しない限り)、2番目の暗号化層が必要です(暗号解読ソフトウェアとキーを読み取るためのインターフェイスを使用できる必要があります)。私はiOSとAndroidがまだそのような設定をしていない場合、これらの設定に向かって進んでいると思いますが、Linuxでこれを設定する簡単な方法はわかりません。

暗号化されたコンテナにキーファイル自体を格納することに関して、暗号化されたコンテナが他のキーファイルではなくパスワードで保護されている場合と、コンテナがリムーバブルドライブの場合にのみ意味があります。リムーバブルドライブをパスワードで保護することは、誰かがドライブを盗んでパスワードを推測できない場合、データを復号化できないことを意味します。しかし、やはり、キーファイルがデータと同じメディアにある場合は、もともとキーファイルを持っていても利点はありません。

関連情報