Dm-Cryptシステム暗号化、各ユーザーは異なるキーを使用します。

Dm-Cryptシステム暗号化、各ユーザーは異なるキーを使用します。

次のシステム暗号化の例の構成が見つかりました。

例5:編集証拠のシステム暗号化

• whole hard drive encrypted with dm-crypt+LUKS
   └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile
        (different one issued to each user - independently revocable)
• /boot partition located on aforementioned USB stick

それでも詳細は見つかりませんでした。

これは、あるユーザーがログインするとデータが暗号化されるため、ログインしていない他のユーザーのデータを読み取ることができないかのように、各ユーザーパーティションに独自のパスワードを持つシステム全体の暗号化が可能であることを意味しますか? (他の暗号化されたデフォルトパーティションを使用する場合と似ていますecryptfs。)

だから誰でも詳細を提供できますか?実際にどのように機能し、Ubuntuシステムで設定するには?

答え1

ユーザー固有の暗号化が必要な場合は、Ubuntuがすでにソリューションを提供していると思います。dm-crypt/luksButtなどの方法を使用せずに、ecryptfs通常のファイルシステムの上に暗号化階層を使用して、各ユーザーのホームディレクトリを個別に暗号化します。

の場合、dm-crypt/luks同じ目的を達成するには、ユーザーごとに別々のパーティションまたは論理ボリュームを作成する必要があります。

もう1つの可能性は、同じコンテナに対する複数のキーに対するLUKSのサポートを意味することです。ただし、これは8つのキーホームに制限されているため、ユーザーが多い限り、それほど実用的ではありません。

チェーンシステムを設定することもできます。つまり、ユーザーにマスターキーのロックを解除するキーを提供すると、マスターキーがコンテナのロックを解除することもできます。しかし、ユーザー管理には適していないと思います。 USBスティックの盗難/紛失==キーの損失を防ぐために便利です。

関連情報