Linuxでスマートカードを使用してファイルシステムコンテナファイルを暗号化/復号化します
Debianlinuxでluksとスマートカードを使用してファイルシステムコンテナファイルを暗号化および復号化したい。
スマートカードはNitrokeyStartであり、基本的にUSBリーダーのコンパクトなスマートカードです。
Dd、cryptsetup、およびキーファイルを使用してコンテナファイルを作成およびマウントする方法を知っています。しかし、キーファイルの代わりにスマートカードを使用する方法がわかりません。
スマートカードからキーを読み取れないため、これは不可能であるということについて何かを読みました。
だから私はこの権利を理解しました、私はしなければなりません:
- コンテナを作成する
- キーファイルを生成する
- cryptsetupとキーファイルを使用してコンテナを暗号化します
- スマートカードを使用してキーファイルを暗号化する
- 暗号化されていないキーファイルを削除します
そして、antを復号化するたびに、コンテナをマウントする必要があります。
- スマートカードを使用してキーファイルを復号化します
- 復号化されたキーファイルを使用してコンテナを復号化します
- 暗号化されていないキーファイルを削除します
これは正しいです?スマートカードを使用してHDD(またはファイルシステムコンテナ)の暗号化を実現するためのより良い方法はありますか?
注:私はcryptsetupやluksに縛られていないので、目標を達成するためのより良いツールがあれば教えてください。
「keytocard」と呼ばれるGPGコマンドを使用して、外部キーをNitrokeyにロードできるようです。
- キーファイルを生成する
- キーファイルをNitrokeyにコピーします(keytocard)
- hDDからの安全な消去キーファイル
- nitrokeyのキーファイルを使用して、通常どおりに暗号化/復号化します
暗号化されたコンテナには多くのオプションがあり、VeraCryptが最も使いやすいです。
Nitrokeyの公式ドキュメントは次のとおりです。 https://www.nitrokey.com/documentation/applications#p:nitrokey-start&os:linux&a:hard-disk-encryption
キーで暗号化されたコンテナがすでにある場合は、そのコンテナをコピーしてテストし、Nitrokeyから機能する場合は、HDD上のコピーを安全に消去します。現在、残っている唯一のコピーはキーにあります。
(バックアップが必要な場合があります)