O utilitário LUKS dm-crypt ' cryptsetup ' nos permite especificar o arquivo-chave no lugar de passphrase . Olhando para o código para cryptsetup eu entendo que se arquivo-chave for especificado, a passphrase não será usada.
Agora quero fazer isso usando a API LUKS crypt_format . Mas, crypt_format não fornece uma opção para especificar o arquivo-chave. Um novo slot de chaves pode ser adicionado posteriormente usando o keyfile, mas inicialmente é necessário passar a senha.
Eu não quero usar a frase secreta. Existe alguma maneira de conseguir isso?
Ao ler a origem da cryptsetup, as partes relevantes são aqui e aqui , parece que o cryptsetup está lendo a chave do arquivo-chave, se estiver definido, ou stdin caso contrário. crypt_get_key parece estar lendo apenas o arquivo até DEFAULT_KEYFILE_SIZE_MAXKB com muita manipulação extra acontecendo, e crypt_get_key_tty parece similar, então eu acho que você poderia apenas ler o arquivo e usar seu conteúdo como a senha.
Tags luks disk-encryption dm-crypt