Luks autenticação de dois fatores

6

é possível criar uma partição crypted com uma autenticação de dois fatores (decodificação com senha e keyfile) com o LUKS, como em truecrypt?

    
por Steve 17.10.2011 / 16:19

4 respostas

2

Sim, isso é possível. Como mencionado por @muldune, você pode usar um Yubikey para executar a criptografia 2FA com o LUKS. Dê uma olhada na minha resposta AskUbuntu aqui .

    
por seanlano 06.04.2015 / 03:25
1

Lamento que ninguém tenha respondido à sua pergunta anteriormente. Se você ainda estiver interessado, não, não é possível atualmente; a única maneira de tornar sua chave mais segura é uma das opções abaixo.

  • Você pode usar uma "chave única" que é alterada a cada inicialização. Essas chaves geralmente são criadas lendo / dev / Xrandom durante a configuração de dm-crypt. Nenhuma chave é armazenada dessa forma e nenhuma senha é necessária, mas esse método só pode ser usado em sistemas de arquivos que podem ser formatados em cada reinicialização (como swap ou talvez / tmp se você não quiser manter as informações armazenadas lá). Usar a suspensão no disco será impossível com chaves de uso único usadas no dispositivo de troca.

  • Você pode armazenar a chave no armazenamento removível. Dessa forma, só é acessível quando necessário. Seus dados estão abertos quando o armazenamento é roubado ou copiado.

  • Você pode gerar um valor de hash (== um número pseudo-aleatório) a partir de um keyphrase e usá-lo como uma chave. A chave não é armazenada na mídia dessa maneira, mas você não pode alterar a senha (uma chave diferente é gerada). Todas as pessoas com acesso aos dados criptografados precisam saber essa frase secreta. Isso é um pouco impraticável em um ambiente multiusuário.

  • Você pode criptografar a chave. A chave criptografada é armazenada no computador com o dispositivo criptografado. Você pode alterar a frase secreta pelo criptografando a chave com uma diferente e você pode ter vários cópias da mesma chave criptografada para várias pessoas.

  • Você pode criptografar a chave e armazená-la em uma mídia removível.

  • Você pode usar cartões inteligentes, etc. Essa é a opção mais segura.

por BrownE 21.01.2012 / 00:47
1

Eu não tentei ainda, mas você poderia usar um Yubikey, configurado para manter a senha estática (até 38 caracteres) no segundo slot (primeiro slot é OTP que você gostaria de manter para uso com um gerenciador de senhas).

Em teoria, você digitaria sua senha mais curta, fácil de lembrar, e depois acrescentaria a senha estática de um Yubikey. Como o Yubikey se parece com um USB HID, você não deve ter problemas em usá-lo, desde que o suporte ao teclado USB esteja habilitado no BIOS.

    
por muldune 04.02.2013 / 19:56
1

Olhe para isto, meu ser o que você quer link

    
por masar 26.04.2013 / 10:40

Tags