FIDO2を使用したsystemd-cryptenroll

FIDO2を使用したsystemd-cryptenroll

FIDO2を使用してluksボリュームのロック解除を設定し、sd-cryptenrollを使用して回復キーを設定しました。

systemd-cryptenroll --fido2-device=auto /dev/my-luks-device

スロット構成は次のとおりです。

SLOT TYPE    
   1 recovery
   3 fido2

すべてがうまく動作しますが、奇妙な方法で動作します。起動時に最初にリカバリキーの入力を求められ、Enterキーを数回押すと、デフォルトではリカバリキーが失敗し、ユーザーがいる場合にのみfido2と入力するように求められます。 。

マンページにはこれについて言及していませんが、これがスロットの順序に関連しているかどうか疑問に思います。実際には、FIDOのロック解除を試みる前にTPM2を設定しましたが、TPMがスロット2に設定されているにもかかわらず、回復キーを最初に要求したことがないため、ここでは問題ではありません。

どんな助けでも大変感謝します。ありがとうございます!

答え1

私のFIDO2デバイスはYubikey形式を取ります。ユーザーに存在するかどうかを尋ねるには、始める前にコンピュータに接続しておく必要があります。これを行わないと、パスワードの入力を求められます。

ただし、登録がPINを要求するように設定されている場合、Yubikeyはパスワードプロンプトの後に接続できます。次に、PIN(パスワードではない)を入力してボリュームのロックを解除します。

ちなみに私はFedoraにしてみました。このアプリこの機能を設定してください。

関連情報