FIDO2セキュリティトークンは、起動時にLinuxコンピュータ上のすべてのディスクを復号化するために使用する必要があります。 systemdはバージョン248からこれを受け入れます。
フルディスク暗号化にLUKSを使用している場合は、起動後にFIDO2セキュリティトークンを削除できますか?または、ディスクの読み取り/書き込み操作に使用できるように接続を維持する必要がありますか?
答え1
すべてのディスク操作で外部FIDO2トークンにアクセスすると、暗号化されたディスクデバイスが非常に遅くなり、ほとんど利用できなくなります。
LUKSを使用すると、すべてのパスワード、FIDO2トークン、またはその他の暗号化ロック解除方法を使用して、LUKSヘッダーのキースロットの1つで暗号化されたマスターキーを復号化できます。その後、このマスターキーはブロック指向の使用に適した対称パスワードと一緒に使用され、暗号化されたデバイスのLUKSヘッダー外のすべてのブロックを暗号化/復号化するために使用されます。
デバイスのロックが解除されたら、暗号化されたデバイスにアクセスするには、復号化されたマスターキーをRAMに保存する必要があります。したがって、セキュリティトークンを削除しても、LUKSデバイスマスターキーへのカーネルアクセスは削除されません。だから答えは、はい、トークンを削除できます。
もちろん、トークンが削除されたときに暗号化デバイスへのアクセスを停止し、メモリのキーを破棄するために必要なステップを実行する監視プログラムを実装することも可能です。ただしsystemd-cryptsetup
、必要に応じて、これらの監視プログラムは、暗号化されたデバイスのシャットダウンを防ぐことができるすべてのプロセスを処理する準備ができている必要がありますkill -9
。それ以外の場合、デバイスのクイックシャットダウンは保証されません。