하드 드라이브 잠금을 해제하기 위해 암호 대신 USB 키를 사용하여 LUKS 암호화를 생성하려고 합니다.
그러나 일부 사람들은 인증에 USB 키를 사용하는 것이 암호 문구보다 덜 안전하다고 말했습니다. 내 질문은: 어떻게 덜 안전합니까? 그리고 저는 해당 USB 키를 내 장치에서만 사용하고 이 시나리오에서는 내 USB 키가 절대 도난당하지 않는 시나리오를 생각하고 있습니다.
나는 더 나아가서 2단계 인증을 설정할 수 있다는 것을 알고 있지만 그것은 내가 묻는 것이 아닙니다.
답변1
그것은 당신의 관점에 달려 있습니다. 키 파일은 일반적으로 무작위이고 암호 문구는 짧고 약한 경향이 있으므로 더 안전합니다.
그런 다음 키로거 동글이나 수정된 부트로더/initramfs 또는 악명 높은XKCD 암호 해독 렌치. USB 스틱에 해당 파일만 있고 bootloader/initramfs가 HDD에서 보호되지 않는 경우 키 파일도 마찬가지입니다.
반면에 USB 키를 사용하면 누구나 액세스할 수 있습니다. 항상 휴대하는 대신 USB 키를 꽂아둔 채로 두면 됩니다. 누구나 쉽고 빠르게 무인 USB를 복사할 수 있습니다.
나는 둘 다 수행합니다... 액세스하려면 암호가 필요한 LUKS 암호화 키 파일이 있는 부트로더, 커널, initramfs가 포함된 USB 키입니다. 따라서 잠금을 해제하려면 키와 암호가 모두 필요합니다. 이것을 2단계 인증이라고 부를 수 있는지 확실하지 않습니다. 이는 실용적인 것을 유지하면서 제가 하려고 했던 일의 한계에 관한 것입니다. (부팅 가능한 USB 스틱은 12개의 LiveCD를 운반하는 데에도 유용합니다.)
어쨌든 당신의 위협 모델은 무엇입니까? 그것에 대해 생각해 보셨나요?
제가 귀하의 집으로 이사하게 된다면, 제가 거의 또는 전혀 노력하지 않고 귀하의 데이터에 접근할 수 있기를 원하십니까?
만약 당신이 내일 죽는다면, 당신의 친척들이 당신의 자료를 해독할 수 있기를 원하시나요?
암호를 사용하지 않는 USB 키를 사용하면 가능하며, 가족 사진 사본을 갖고 있는 경우에만 바람직합니다...
부팅 시 [CPU, RAM, Mac 주소 등과 같은 하드웨어 지문을 사용하여] 자체적으로 암호를 해독하는 서버가 있는데 상호 작용이 전혀 필요하지 않습니다... 여기서 위협 모델은 누군가가 드라이브를 제거하고 다른 드라이브에 넣을 수 있다는 것입니다. 고객의 상자 또는 이와 유사한 것.