Usando um Yubikey com LUKS no Armazenamento Removível

Navegue suas respostas
0

Estou tentando usar um Yubikey 4 como segundo fator para acessar um HDD USB com criptografia LUKS. Aqui está o quanto eu consegui:

Estou usando yubikey-luks para adicionar minha senha hash HMAC-SHA1 ao slot 7 do dispositivo.

  • Problema : cryptsetup apenas desafia o yubikey na inicialização, e eu estou abrindo o dispositivo uma vez logado.

No entanto, posso usar ykchalresp para desafiar manualmente meu Yubikey.

  • Problema :
  • Isso envolve inserir minha frase-senha em texto simples em um terminal.
  • Mesmo que eu passe por isso, não conheço uma maneira de canalizar / inserir convenientemente isso no cryptsetup.

Eu pensei em escrever a senha com hash em um arquivo e usá-lo como --key-file , mas isso parece uma má ideia, já que terei a chave do meu dispositivo por aí.

Por favor, deixe-me saber se estou formatando um comando errado, ou se você tem um jeito de contornar qualquer um dos meus problemas!

    
por Christopher Richez 20.08.2017 / 05:08

1 resposta

0

Eu sugiro que você use este pequeno projeto legal: criptografia completa de disco do yubikey no GitHub ,

É uma coleção de scripts para enroll e open de um dispositivo criptografado. O README.md documenta bastante bem o que você precisa fazer. Ele também tem instruções para configurar a descriptografia automática com um Yubikey na inicialização.

Basicamente, você precisa fazer o seguinte:

  • git clone / download o projeto e cd para sua pasta
  • sudo make install instala o projeto
  • você deve modificar o arquivo de configuração em /etc/ykdfe.con , em particular eu modifiquei as seguintes opções
    • YKFDE_DISK_UUID (obrigatório, você pode obtê-lo com o comando blkid /dev/sdX , onde /dev/sdX é o nome do seu dispositivo externo)
    • YKFDE_LUKS_NAME (obrigatório, um bom nome é luks-<uuid-of-the encrypted-volume> )
    • YKFDE_CHALLENGE (opcional, mas você precisa habilitar 2FA)
    • YKFDE_CHALLENGE_SLOT (opcional, por padrão, é definido como 1, mas lembre-se de que slot 1 contém a configuração para o Yubikey OTP
    • YKFDE_CHALLENGE_PASSWORD_NEEDED , se você quiser também inserir sua senha (para que o Yubikey atue como autenticação de segundo fator, em vez de ser suficiente para desbloquear o volume por si só)

Você pode seguir as instruções no README.md para configurar a resposta de desafio do Yubikey e adicioná-la ao volume criptografado como uma senha adicional.

No final, aconselho você a fazer um make test que testará a configuração.

Eu tenho meu Yubikey trabalhando com um dispositivo de loop criptografado, então acho que ele também deve funcionar com HDD externo.

Espero que isso ajude.

    
por CristianCantoro 05.02.2018 / 03:02
Suspender o congelamento após a atualização do sistema problema ao instalar o mysql-server - Existe um servidor MySQL rodando