Fedora Workstation 35ではこちらをご覧ください。システム v249
起動時にスマートカードを使用してルートLUKSボリュームのロックを解除しようとしましたが、機能しませんでした。
/etc/crypttab mydisk UUID=496e1cd5-712f-44ab-ad02-5fb6f7419af8 none pkcs11-token-uri=auto,luks,discard に追加しました。
私のディスクはsudo systemd-cryptenroll --pkcs11-token-uri=auto /dev/...を使って正しく登録されており、luksDumpを使ってスロットに入れることができます。 sudo /usr/lib/systemd/systemd-cryptsetupが利用可能であることを確認しました。 pkcs11-uri=auto なし MountName /dev/... マウント
再起動時にパスワードプロンプトが表示されます。コンソールには以下が表示されます。
暗号化設定を入力してください。 712f-44ab-ad02-5fb6f7419af8: ディスク WDS のパスワードを入力してください...[ディスクモデル]:
ここでは、回復パスワードのみ有効です。スマートカードが利用できず、パスワードを入力できません。
同じスマートカードと同じcrypttabメソッドを使用して別のドライブ(外付けHDD)のロックを解除しましたが、これは動作します(ディスクにはありませんが、起動時にのみインストールしようとすると、ディスクアプリは常にパスワードを要求しますが、これは別のものです)。問題)。このスマートカードはYubikeyに基づいています。
ここの発表によると:https://www.phoronix.com/scan.php?pa...lock-encryptionそしてここの人々は:https://www.freedesktop.org/[Eメール保護] この機能は機能するはずです。私はドキュメントから引用しています:
In order to unlock a volume a password or binary key is required. [email protected] tries to acquire a suitable password or binary key via the following mechanisms, tried in order:
If a key file is explicitly configured (via the third column in /etc/crypttab), a key read from it is used. If a PKCS#11 token, FIDO2 token or TPM2 device is configured (using the pkcs11-uri=, fido2-device=, tpm2-device= options) the key is decrypted before use.
If no key file is configured explicitly this way, a key file is automatically loaded from /etc/cryptsetup-keys.d/volume.key and /run/cryptsetup-keys.d/volume.key, if present. Here too, if a PKCS#11/FIDO2/TPM2 token/device is configured, any key found this way is decrypted before use.
If the try-empty-password option is specified it is then attempted to unlock the volume with an empty password.
The kernel keyring is then checked for a suitable cached password from previous attempts.
Finally, the user is queried for a password, possibly multiple times, unless the headless option is set.