Sim, isso é possível. Como mencionado por @muldune, você pode usar um Yubikey para executar a criptografia 2FA com o LUKS. Dê uma olhada na minha resposta AskUbuntu aqui .
é possível criar uma partição crypted com uma autenticação de dois fatores (decodificação com senha e keyfile) com o LUKS, como em truecrypt?
Sim, isso é possível. Como mencionado por @muldune, você pode usar um Yubikey para executar a criptografia 2FA com o LUKS. Dê uma olhada na minha resposta AskUbuntu aqui .
Lamento que ninguém tenha respondido à sua pergunta anteriormente. Se você ainda estiver interessado, não, não é possível atualmente; a única maneira de tornar sua chave mais segura é uma das opções abaixo.
Você pode usar uma "chave única" que é alterada a cada inicialização. Essas chaves geralmente são criadas lendo / dev / Xrandom durante a configuração de dm-crypt. Nenhuma chave é armazenada dessa forma e nenhuma senha é necessária, mas esse método só pode ser usado em sistemas de arquivos que podem ser formatados em cada reinicialização (como swap ou talvez / tmp se você não quiser manter as informações armazenadas lá). Usar a suspensão no disco será impossível com chaves de uso único usadas no dispositivo de troca.
Você pode armazenar a chave no armazenamento removível. Dessa forma, só é acessível quando necessário. Seus dados estão abertos quando o armazenamento é roubado ou copiado.
Você pode gerar um valor de hash (== um número pseudo-aleatório) a partir de um keyphrase e usá-lo como uma chave. A chave não é armazenada na mídia dessa maneira, mas você não pode alterar a senha (uma chave diferente é gerada). Todas as pessoas com acesso aos dados criptografados precisam saber essa frase secreta. Isso é um pouco impraticável em um ambiente multiusuário.
Você pode criptografar a chave. A chave criptografada é armazenada no computador com o dispositivo criptografado. Você pode alterar a frase secreta pelo criptografando a chave com uma diferente e você pode ter vários cópias da mesma chave criptografada para várias pessoas.
Você pode criptografar a chave e armazená-la em uma mídia removível.
Você pode usar cartões inteligentes, etc. Essa é a opção mais segura.
Eu não tentei ainda, mas você poderia usar um Yubikey, configurado para manter a senha estática (até 38 caracteres) no segundo slot (primeiro slot é OTP que você gostaria de manter para uso com um gerenciador de senhas).
Em teoria, você digitaria sua senha mais curta, fácil de lembrar, e depois acrescentaria a senha estática de um Yubikey. Como o Yubikey se parece com um USB HID, você não deve ter problemas em usá-lo, desde que o suporte ao teclado USB esteja habilitado no BIOS.
Tags luks