web-dev-qa-db-fra.com

Authentification à deux facteurs Luks

est-il possible de créer une partition chiffrée avec une authentification à deux facteurs (déchiffrement avec mot de passe et fichier clé) avec LUKS, comme dans TrueCrypt?

6
Steve

Oui, c'est possible Comme mentionné par @muldune, vous pouvez utiliser un Yubikey pour effectuer le cryptage 2FA avec LUKS. Jetez un oeil à ma réponse AskUbuntu ici .

2
seanlano

Regardez ceci, mon être ce que vous voulez https://www.masarlabs.com/article/two-factor-luks-decription/

1
masar

Je n'ai pas encore essayé moi-même, mais vous pouvez utiliser un Yubikey, configuré pour contenir un mot de passe statique (jusqu'à 38 caractères) dans le deuxième emplacement (le premier emplacement est OTP que vous souhaitez conserver pour un gestionnaire de mot de passe). ).

En théorie, vous saisissez votre phrase courte, facile à mémoriser, puis vous l'ajoutez avec le mot de passe statique d'un Yubikey. Étant donné que le Yubikey ressemble à un HID USB, vous ne devriez pas avoir de problème à l'utiliser tant que le support du clavier USB est activé dans le BIOS.

1
muldune

Je suis désolé, personne n'a déjà répondu à votre question. Si vous êtes toujours intéressé, non ce n'est pas possible actuellement; La seule façon de rendre votre clé plus sûre est l’un des suivants.

  • Vous pouvez utiliser une "clé unique" modifiée à chaque démarrage. Ces clés sont généralement créées en lisant/dev/Xrandom lors de l’installation de dm-crypt. Aucune clé n'est stockée de cette manière et aucune phrase secrète n'est nécessaire, mais cette méthode ne peut être utilisée que sur des systèmes de fichiers pouvant être formatés à chaque redémarrage (comme swap ou peut-être/tmp si vous ne souhaitez pas conserver les informations qui y sont stockées). L'utilisation de suspendre sur le disque sera impossible avec des clés uniques utilisées sur le périphérique d'échange.

  • Vous pouvez stocker la clé sur une mémoire amovible. De cette façon, il n’est accessible qu’en cas de besoin. Vos données sont à l'air libre lorsque le stockage est volé ou copié.

  • Vous pouvez générer une valeur de hachage (== un nombre pseudo-aléatoire) à partir d'une phrase clé et l'utiliser comme clé. La clé n'est pas du tout stockée sur le support de cette manière, mais vous ne pouvez pas changer la phrase secrète (une clé différente est alors générée). Toutes les personnes ayant accès aux données cryptées doivent connaître cette phrase secrète. Ceci est un peu peu pratique dans un environnement multi-utilisateurs.

  • Vous pouvez chiffrer la clé. La clé cryptée est stockée sur l'ordinateur avec le périphérique crypté. Vous pouvez changer le mot de passe par
    recryptez la clé avec une clé différente et vous pouvez chiffrer plusieurs copies de la même clé pour plusieurs personnes.

  • Vous pouvez chiffrer la clé et la stocker sur un support amovible.

  • Vous pouvez utiliser des cartes à puce, etc. C'est l'option la plus sécurisée.

1
BrownE