次のように、ロック解除のためにFIDO2ハードウェアトークンを使用するLUKS暗号化システムの設定が完了しました。このブログ投稿。しかし、家では通常、ハードウェアトークンを差し込み、旅行時にのみ削除します。したがって、誰かがノートブックと挿入されたハードウェアトークンを盗んでも、ノートブックを簡単に起動してディスクの復号化を行うことができます。
この問題を解決するためにパスワードとハードウェアトークンで2FAを使用したいのですが、これまではパスワード+ HMAC-SHA1を使用するソリューションのみを見つけました。つまり、パスワードをチャレンジとして使用し、実際のパスワードLUKSの結果ハッシュを保存するため、これはFIDO2として一般化されません。 FIDO2でも2FAを動作させる方法はありますか?
答え1
Systemdにはバージョン248以降のモジュールがあります。 ~と呼ばれるsystemd-cryptenroll。 FIDO2スティックの機能に応じて、2FAに複数のオプションを使用できます。
--fido2-with-user-presence=trueFIDO2スティックに触れる必要があるようにシステムを設定します。--fido2-with-client-pin=trueFIDO2スティックが必要になるようにシステムを設定し、PINを入力してください。--fido2-with-user-verification=trueFIDO2 スティックが必要で、システムに認証されるようにシステムを構成します。
例の呼び出しは次のとおりです。
systemd-cryptenroll --fido2-device=auto --fido2-with-user-verification=true /dev/sda3
しかし、代替USBドライブや画像を試してみてください。 FIDO2キーを実際のデバイスに登録する前に、すべてが正しく機能していることを確認してください。
デバイスにキーを登録した後、fido2-device=autoデバイスオプションで/etc/crypttab。
さまざまな例を見ることができますここ。