web-dev-qa-db-ja.com

USBキー認証を備えたLUKS、それはどのくらい安全ですか?

パスフレーズの代わりにUSBキーを使用してハードドライブのロックを解除することにより、LUKS暗号化を作成することを考えています。

ただし、認証にUSBキーを使用することは、パスフレーズよりも安全性が低いと言う人もいます。私の質問は:どうして安全性が低下するのですか?そして、私は自分のデバイスでのみ上記のUSBキーを使用し、このシナリオではUSBキーが盗まれることがないというシナリオを考えています。

さらに進んで2要素認証を設定できることはわかっていますが、それは私が求めていることではありません。

2
Mario Kamenjak

それはあなたの視点に依存します。キーファイルは通常本当にランダムですが、パスフレーズは短くて弱い傾向があるため、より安全です。

次に、キーロガードングル、変更されたブートローダー/ initramfs、または悪名高い XKCD復号化レンチ のいずれかを使用して、パスフレーズ自体を解読するのに約5ドルかかります。ブートローダー/ initramfsがHDDで保護されていないのに、USBスティック上のそのファイルだけの場合、キーファイルについても同じことが言えます。

一方、USBキーを使用すると、誰でもアクセスできます。常に持ち歩くのではなく、プラグを差し込んだままにしておくとよいでしょう。誰でも無人のUSBスティックをすばやく簡単にコピーできます...

私は両方を行います...アクセスするためにパスフレーズを必要とするLUKSで暗号化されたキーファイルを含むブートローダー、カーネル、initramfsを含むUSBキー。したがって、ロックを解除するには、キーとパスフレーズの両方が必要です。これを2要素認証と呼ぶことができるかどうかはわかりません。これは、物事を実用的に保ちながら、私が喜んで行うことの限界についてです。 (起動可能なUSBスティックは、1ダースのLiveCDを持ち運ぶのにも役立ちます)。

とにかくあなたの脅威モデルは何ですか、あなたもそれについて考えましたか?

あなたが私をあなたの家に引っ越させた場合、あなたは私があなたのデータにほとんどまたはまったく努力なしでアクセスできるようにしたいですか?

あなたが明日亡くなった場合、あなたの親戚があなたのものを解読できるようにしたいですか?

パスフレーズを使用しないUSBキーを使用すると、それが可能になります。家族の写真には、コピーを持っているだけで望ましいです...

[CPU、RAM、MACアドレスなどのハードウェアフィンガープリントを使用して]起動時に自分自身を復号化するサーバーがありますが、対話はまったく必要ありません...ここでの脅威モデルは、誰かがドライブを取り外して別のドライブに入れる可能性があることです顧客の箱、またはそのようなもの。

5
frostschutz