Я думаю создать шифрование LUKS, используя USB-ключ вместо парольной фразы для разблокировки моего жесткого диска.
Однако некоторые люди говорили мне, что использование USB-ключа для аутентификации менее безопасно, чем парольная фраза. Мой вопрос: чем он менее безопасен? И я думаю о сценарии, в котором я использую указанный USB-ключ только на своих собственных устройствах, и в этом сценарии мой USB-ключ никогда не будет украден.
Я знаю, что мог бы пойти еще дальше и настроить двухфакторную аутентификацию, но это не то, о чем я спрашиваю.
решение1
Это зависит от вашей точки зрения. Это более безопасно, поскольку ключевые файлы обычно действительно случайны, а парольные фразы, как правило, короткие и слабые.
С другой стороны, взлом одной только парольной фразы обойдется примерно в 5 долларов, либо с помощью ключа-кейлоггера, либо с помощью модифицированного загрузчика/initramfs, либо с помощью печально известногоКлюч для расшифровки XKCD. То же самое справедливо и для ключевых файлов, если это только файл на USB-накопителе, в то время как загрузчик/initramfs не защищен на жестком диске.
USB-ключ, с другой стороны, дает доступ любому - если вы оставили его подключенным вместо того, чтобы носить его с собой все время. Любой может быстро и легко скопировать оставленный без присмотра USB-накопитель...
Я делаю и то, и другое... USB-ключ, который содержит загрузчик, ядро, initramfs с зашифрованными LUKS ключевыми файлами, для доступа к которым требуется парольная фраза. Поэтому для разблокировки вам нужны и ключ, и парольная фраза. Не уверен, можно ли назвать это двухфакторной аутентификацией — это предел того, что я был готов сделать, сохраняя при этом практичность. (Загрузочный USB-накопитель также полезен для ношения с собой дюжины LiveCD).
Какова вообще ваша модель угроз? Вы когда-нибудь задумывались об этом?
Если вы позволите мне переехать в ваш дом, хотите ли вы, чтобы я мог получить доступ к вашим данным без каких-либо усилий?
Если бы вы завтра умерли, хотели бы вы, чтобы ваши родственники смогли расшифровать ваши данные?
С помощью USB-ключа, не требующего ввода парольной фразы, это было бы возможно и желательно для тех семейных фотографий, копии которых есть только у вас...
У меня есть сервер, который расшифровывает себя при загрузке [используя аппаратные отпечатки пальцев, такие как ЦП, ОЗУ, MAC-адрес, ...], никакого взаимодействия не требуется... Модель угрозы здесь такова, что кто-то может извлечь диск и положить его в коробку другого клиента или что-то в этом роде.