キーファイルとパスワードのフレーズは異なる利点を提供すると思います。同じ方法では取得できません(1つは個人的に取得する必要があり、もう1つは知る必要があります)。したがって、これらの両方を使用して私のデータを暗号化すると大きな利点があると思います。これにより、誰かが破損しても暗号化はそのまま残ります。
通常モードでdm-cryptを使用すると、両方を使用したいと思います。デフォルトでは、dm-cryptはパスワードを使用しますが、パスワードをキーファイルに簡単に変更できます。ただし、入力タイプは同じように見えます(たとえば、キーファイルが提供された場合はパスワードになります)。したがって、--key-fileと--verify-passphraseを一緒に使用しても効果はありません。
両方を使用する回避策はありますか?
答え1
cryptsetup
記憶できる他のパスワードを使用して、GnuPG(または他のツール)で暗号化されたファイルに実際のパスワード(非常に長く複雑な文字列である可能性があります)を保存できます。
まず、暗号化されたパスワード文字列を使用してgpg
暗号化しますkeyfile
。
# echo 'long-long-passphrase-for-cryptsetup' | gpg -q -c --cipher-algo AES256 -o keyfile
Enter passphrase: <- Enter another passphrase you can remember
# file keyfile
keyfile: GPG symmetrically encrypted data (AES256 cipher)
その後、keyfile
復号化して標準入力に入力しますcryptsetup --key-file -
。
# gpg -qd keyfile | cryptsetup plainOpen --key-file - /path/to/image volname
同様の提案は以下にあります。パスワード設定マニュアル。
gpg -c
簡単にするために、上記の例では対称暗号化()を使用しています。公開鍵暗号化が使えたらもっといいと思います!