暗号化されたUSBキーを使用して暗号化されたルートブート

暗号化されたUSBキーを使用して暗号化されたルートブート

/dev/sdb2 で grub、フルディスク暗号化 (LVM なし)、および /dev/sdb1 で暗号化されていない /boot/efi を使用して Debian 11 を実行します。

起動には2つのオプションが必要です。

  1. パスワードを入力
  2. 暗号化されたUSBキー(/ dev / sdb2ロックを解除するために保存されたLUKSキーファイル)を挿入します。

(同じユースケースLuks暗号化USBブートキー- USBキーを挿入する場合を除き、パスワードをまったく入力したくありません。)

私のUSBキーは暗号化されているため、起動時に自動的にロックを解除する必要があります。これを行うには、/boot/efiに保存されるLUKSキーファイルを作成しました。

これは私が作成した/ etc / crypttabです:

USB-KEY /dev/disk/by-label/USB-KEY_LUKSCONTAINER  /boot/efi/USB-KEY.key  luks,keyscript=/bin/cat
cryptroot UUID=xxxx-xxxx--xxxx-xxx  /dev/disk/by-label/USB-KEY:/secret.key:20 luks,discard,keyscript=/lib/cryptsetup/scripts/passdev

USB-KEYを自動的にインストールするように/etc/fstabを更新しました。

/dev/mapper/USB-KEY
UUID=yyyy-yyyy-yyyy-yyyy  /mnt/USB-KEY  ext4  nosuid,rw  0 0

起動時にUSBキーを挿入しましたが、cryptsetupプロンプトで停止します。 LUKS パスワードを入力すると、「cryptsetup failed、無効なパスワード、またはオプションがありますか?」というメッセージが表示されます。私はどこで間違っていますか?

関連情報