キーファイルは暗号化の目的を破っていませんか?
私はシステムにドライブを追加しました。これは基本的に、追加のストレージ用にマウントされたパーティションです。私はそれを暗号化して、神が何を知っている場合に私のデータを保護したいと思います。そうすることによって、パーティションのロックを解除するために毎回パスフレーズを入力する必要があります。
キーファイルを追加できるので、毎回手動でロックを解除する必要がないと読みましたが、これは混乱を招きます。とにかく自動的にロックを解除する場合は、暗号化のポイントは何ですか?
暗号化解除がキーファイルのみに依存していて、このキーファイルがすぐに利用できる場合、実際の設定にはセキュリティ上の大きなメリットはありません。
ただし、キーファイルをリムーバブルデバイス(USBスティックなど)に保存し、周りにいないときに切り離すことができます。この方法では、ユーザーがいて、リムーバブルデバイスが接続されている場合にのみ、復号化が可能です。
リムーバブルデバイスをシステム上でのみ復号化できるようにする場合は、キーファイルをローカルに保存することは理にかなっています。暗号化されたデバイスを別の場所で使用する場合は、他のシステムにもキーファイルを配布できます。移動中にリムーバブルデバイスを紛失しても、キーファイルがあるシステムでのみ復号化できるため、害はほとんどありません。
Dementoの答え は問題ありませんが、私が個人的に使用している別のユーザーケースも提示します。続く:
- ブートパーティションは暗号化されており、ブートマネージャー(GRUB)がマウントできるようにパスワードを入力する必要があります。
- パーティションには、カーネルイメージと、システムの残りの部分を起動するために使用される「初期ブートユーザースペース」である、いわゆる「
initramfs」が含まれています。このイメージには、他のアタッチされたLUKS暗号化パーティションの復号化に使用されるunencryptedキーが含まれています。
画像は、可能な限り厳格な権限で保持されます。
このセットアップの利点は、ユーザーがパスフレーズを一度だけ入力する必要があることです。
明らかな欠点は、攻撃者が何らかの方法でブートパーティションを解読できた場合、自動的に残りのディスク領域にアクセスできることです。攻撃者が何らかの方法で実行中のシステムにローカルルートエクスプロイトをマウントしてLUKSサブシステムによってエクスポートされた復号化パーティションで利用可能なinitramfsイメージにアクセスできる場合、ブート以外のパーティションにアクセスできます(ただし、 、そのようなエクスプロイトの場合、パーティションはすでに復号化されてエクスポートされているので、すぐにそのようなアクセスを得るでしょう。
ここで、データストレージを暗号化するためのキーの使用は、パスフレーズを提供する必要性を置き換えることです(キー自体が合理的に安全な方法で保持されている場合)。
追加の手段としてTPMについて誰も言及していないことに驚いた。
「神は知っている」攻撃からは保護しませんが、特にブートプロセス攻撃(密封されたPCRで正しく行われた場合)に対しては、キーファイルよりもかなり高い保証を提供し、ブートデバイスのセキュリティを少し高めます。
TPMのPINは、パスフレーズの手間、またはFIDOデバイスを簡素化する必要があります。
巨人の肩を踏む:
とはいえ、盗難に遭ったデバイス(悪意のあるユーザーがデータを使用できないようにするため)、法執行機関によるフォレンジック/復号化の試み(物事が積み重なっていない国に住んでいる場合)あなたが反対者ならあなたの好意で)、またはあなたはあなたの変態コレクションを誰からも隠すだけです。 YMMV。
セキュリティは通常、a)持っているものに加えてb)ペンドライブにあるパスワードで保護されたファイルなど、知っているものによって実現されますか?