次のコマンドを使用して、Fedora 34を実行しているコンピュータでLUKS2を使用して外付けハードドライブを暗号化しましたcryptsetup。
ハードドライブを接続してパスワードを入力すると、ドライブが正常にロック解除され、ファイルにアクセスできるようになります。また、FIDO2セキュリティキーを使用してドライブのロックを解除したいと思います。次のコマンドを使用して、ロック解除オプションとしてキーを追加しました。
sudo systemd-cryptenroll --fido2-device=auto /dev/sdc1
このファイルのドキュメントで、/etc/crypttab起動中にそのドライブを自動的にロック解除する方法が見つかりました。
残念ながら、FIDO2キーを使用してそのドライブを手動でロック解除する方法についてのドキュメントが見つかりませんでした。を使用してロックを解除しようとすると、cryptsetup open /dev/sdc1 myLuksパスワードを入力する必要があります。マニュアルには、これら2つのようなパラメータがcryptsetup見つかりません。--fido2-device
FIDO2キーを使用してLUKS2暗号化ドライブを手動でロック解除する方法を説明できますか?
事前にありがとう
答え1
手動でデバイスのロックを解除できる必要があります。systemd-cryptsetup
sudo /usr/lib/systemd/systemd-cryptsetup attach myLuks /dev/sdc1 - fido2-device=auto
これで、FIDO(またはTPM2)を使用してLUKSデバイスをロック解除できなくなりましたcryptsetup。これはsystemdでのみサポートされています(LUKSヘッダに「外部」メタデータを追加できるLUKS2機能を使用しますが、FIDO / TPM2を使用するコードはsystemdにのみ存在するため、cryptsetupはFIDO / TPM2からキーを取得する方法がわかりません。これは変更される予定です。cryptsetup 2.4.0(まだリリースされていません、RC0は現在Fedora RawhideとDebian Experimentalで利用可能です)に新しいプラグインインターフェースを追加し、cryptsetup openFIDO / TMP2(およびその他の「トークン」)を使用してデバイスを自動的に開くことができます。」将来のsystemdでサポートされます。
答え2
Fedora 37 cryptsetup 2.5.0では、以下が機能します。
sudo cryptsetup open --token-only /dev/sdb1 myLuks