USBドライブにインストールされているユニークなシステム(プリインストールされたDebian Bullseye)からのみアクセスできるようにLinux内部ディスクを暗号化するにはどうすればよいですか?誰かが暗号化されたパスワードと物理的なアクセス権を持っていても、他のシステムを保持しているUSBドライブがなければアクセスできないはずです。
これを行う方法はありますか?
答え1
誰かが暗号化されたパスワードを持っていても、USBドライブにインストールされた唯一のシステムでのみ動作します。
いいえ。暗号化では、暗号化のセキュリティは常に鍵の機密性によって提供されます。いいえ誰かに復号化ソフトウェアを提供しないでください。結局これが必要なすべてです。正しいソフトウェアだけがドライブの暗号化を解除できます。
しかし、あなたの質問を少し変えれば、この質問に肯定的に答えることができるようです。
USBドライブを持っている人だけが復号化できるように、USBドライブに復号化キーを挿入できますか?
はい、これはかなり標準的です。ただフォローしてください一つLUKSキーを外部USBドライブに挿入する方法については、たくさんのガイドがあるので、すぐに使用できます。
また、USBドライブに保存されているすべての項目をコピーできます。 USBドライブは単なる「愚かな」ストレージです。したがって、再現できないことが必要な場合でも、この方法は解決策ではありません。
複製できない暗号化デバイス(キー自体を含み、内部で復号化を実行し、キー自体を漏洩しないデバイス)が必要です。これにより、キーアクセスカードを漏洩することなく復号化が漏洩しないようにすることができます。 (他の人がドライブの暗号化設定を変更することを許可しない限り、別のキーを追加できるためですが、これは別の話です。)
これにより、使用するデバイスの種類(ニトロキー、TPM2デバイス、FIDOキー...)によって少し具体的になりますが、検索する用語は「LUKS + {デバイス名}」です。