truecryptのように、LUKSで2要素認証(パスワードとキーファイルによる復号化)で暗号化されたパーティションを作成することは可能ですか?
はい、これは可能です。 @mulduneが述べたように、Yubikeyを使用してLUKSで2FA暗号化を実行できます。 ここに私のAskUbuntuの答えを見てください 。
これを見て、あなたが望むものになります https://www.masarlabs.com/article/two-factor-luks-decription/
まだ試していませんが、2番目のスロットに静的パスワード(最大38文字)を保持するように構成されたYubikeyを使用できます(最初のスロットは、パスワードマネージャーで使用するために保持したいOTPです) )。
理論的には、短くて覚えやすいパスフレーズを入力し、Yubikeyからの静的パスワードを追加します。 YubikeyはUSB HIDのように見えるため、BIOSでUSBキーボードのサポートが有効になっている限り、Yubikeyを使用しても問題はありません。
誰もあなたの質問に以前に答えていないことをすみません。あなたがまだ興味があるなら、いいえそれは現在可能ではありません。キーをより安全にする唯一の方法は、次のいずれかです。
起動ごとに変更される「ワンタイムキー」を使用できます。これらのキーは通常、dm-cryptのセットアップ中に/ dev/Xrandomを読み取ることで作成されます。この方法でキーは保存されず、パスフレーズも必要ありませんが、この方法は再起動ごとにフォーマットできるファイルシステムでのみ使用できます(そこに保存された情報を保持したくない場合は、swapまたは/ tmpなど)。スワップデバイスで使用されるワンタイムキーでは、ディスクへのサスペンドの使用は不可能です。
キーはリムーバブルストレージに保存できます。そうすれば、必要なときにのみアクセスできます。ストレージが盗まれたりコピーされたりしても、データは公開されています。
キーフレーズからハッシュ値(==擬似乱数)を生成し、それをキーとして使用できます。キーはそのような方法でメディアに保存されませんが、パスフレーズを変更することはできません(異なるキーが生成されます)。暗号化されたデータにアクセスできるすべての人は、このパスフレーズを知っている必要があります。これは、マルチユーザー環境では少し実用的ではありません。
キーを暗号化できます。暗号化されたキーは、暗号化されたデバイスとともにコンピューターに保存されます。パスフレーズは次の方法で変更できます
キーを別のキーで再暗号化すると、同じキーのコピーを複数人で暗号化できます。
キーを暗号化して、リムーバブルメディアに保存できます。
スマートカードなどを使用できます。これは最も安全なオプションです。