ハードドライブのロックを解除するためにLUKS暗号化を生成するためにパスワードの代わりにUSBキーを使用することを検討しています。
しかし、一部の人々は、認証にUSBキーを使用することはパスワードほど安全ではないと言いました。私の質問は:どのように安全性が低いですか?私はそのUSBキーを自分のデバイスでのみ使用しており、この場合、私のUSBキーを絶対に盗難できないシナリオを考えています。
さらに一歩進んで二重認証を設定できることを知っていますが、私が尋ねるものではありません。
答え1
それはあなたの視点に依存します。鍵ファイルは通常、ランダムでパスワードが短く脆弱な傾向があるため、より安全です。
暗号文自体は、キーロガードングル、修正されたブートローダ/ initramfs、または悪名高い方法を使用して復号化するのに約5ドルかかります。XKCD復号レンチ。キーファイルがUSBスティックにあるファイルであり、HDDのブートローダ/ initramfsが保護されていない場合も同様です。
一方、USBキーは常に携帯するのではなく、接続するだけで誰でもアクセスできます。誰でも簡単かつ迅速に無人USBをコピーできます。
私はブートローダ、カーネル、initramfsを含むUSBキーとアクセスするためにパスワードを必要とするLUKS暗号化キーファイルをすべて実行します。したがって、ロックを解除するにはキーとパスワードが必要です。これを二重認証と呼べるかどうかはわかりません。実用性を維持しながら私がやろうとしていることの限界です。 (起動可能なUSBスティックを使用して12個のLiveCDを運ぶこともできます。)
とにかく、あなたの脅威モデルは何ですか?それについて考えたことがありますか?
私があなたの家に引っ越したら、私はあなたのデータに簡単にアクセスできるようにしたいですか?
あなたが明日死ぬなら、あなたの親戚があなたのものを解読できるようにしたいですか?
パスワードのないUSBキーだけがあれば可能です。そして、家族の写真の場合、自分だけが写真のコピーを持つことができます。
起動時に[CPU、RAM、Macアドレスなどのハードウェアフィンガープリントを使用して]独自に復号化するサーバーがありますが、対話はまったく必要ありません。できるということです。ドライブインの顧客の箱または類似したもの。