cryptsetup:キーファイルとパスワードを使用したdm-cryptデフォルトモード

cryptsetup:キーファイルとパスワードを使用したdm-cryptデフォルトモード

キーファイルとパスワードのフレーズは異なる利点を提供すると思います。同じ方法では取得できません(1つは個人的に取得する必要があり、もう1つは知る必要があります)。したがって、これらの両方を使用して私のデータを暗号化すると大きな利点があると思います。これにより、誰かが破損しても暗号化はそのまま残ります。

通常モードでdm-cryptを使用すると、両方を使用したいと思います。デフォルトでは、dm-cryptはパスワードを使用しますが、パスワードをキーファイルに簡単に変更できます。ただし、入力タイプは同じように見えます(たとえば、キーファイルが提供された場合はパスワードになります)。したがって、--key-fileと--verify-passphraseを一緒に使用しても効果はありません。

両方を使用する回避策はありますか?

答え1

cryptsetup記憶できる他のパスワードを使用して、GnuPG(または他のツール)で暗号化されたファイルに実際のパスワード(非常に長く複雑な文字列である可能性があります)を保存できます。

まず、暗号化されたパスワード文字列を使用してgpg暗号化しますkeyfile

# echo 'long-long-passphrase-for-cryptsetup' | gpg -q -c --cipher-algo AES256 -o keyfile 
Enter passphrase: <- Enter another passphrase you can remember
# file keyfile 
keyfile: GPG symmetrically encrypted data (AES256 cipher)

その後、keyfile復号化して標準入力に入力しますcryptsetup --key-file -

# gpg -qd keyfile | cryptsetup plainOpen --key-file - /path/to/image volname

同様の提案は以下にあります。パスワード設定マニュアル

gpg -c簡単にするために、上記の例では対称暗号化()を使用しています。公開鍵暗号化が使えたらもっといいと思います!

関連情報