Форум русскоязычного сообщества Ubuntu


Автор Тема: Считывание usb-ключа с флешки в системе с luks-шифрованием  (Прочитано 1863 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kreet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Система(Ubuntu 16.04, х86) ставилась с шифрованием всего раздела при установке. Теперь благополучно требует ключ при загрузке. Но интересует как уже на установленной системе сделать так, чтобы система при запуске не требовала пароль, а считывала это как ключ с usb-флешки?

И чтобы можно было этот ключ положить на другую флешку(т.е. была вомзожность с 2-х флешек входить в систему).

Поискал в интернетах, натыкался на решение для debian, но он либо не подходит т.к. есть какая-то заковырка в systemd или решение подразумевает полную переустановку системы с перезаписыванием байт в начале раздела(причем объясняется для чего это - очень мутно).

alexxnight

  • Гость
Ок. Расскажите, пожалуйста, зачем это может быть нужно.

(Нажмите, чтобы показать/скрыть)

Оффлайн Kreet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
alexxnight, Я же не предлагаю в открытом виде хранить пароль на флешке. Мне кажется наоборот отсутствие возможности взаимодействия с диалогом ввода пароля - повышает безопасность, сужая доступность до наличия ключа на флешке(допустим это будет какой-нибудь особый файл/документ/медиа). И если он будет только на 2-х флешках - это примерно то же самое что пароль знают только 2 юзера. Ну и скажите мне в чем здесь нивелирование идеи шифрования? Не надо говорить о том что, имея доступ к флешке, ключ можно скопировать - ничего что сначало нужно узнать что там является ключом, где расположено и в каком виде? Да и ещё нужно каким-то макаром получить физический доступ к флешке, что маловероятно. А это уже уникальные данные информация о которых допустим будет известна только одному юзеру, а запишет он эти уникальные ключи на 2 флешки, которые будут соответственно у 2-х юзеров. Дальнейшая организация безопасности зависит от человеческого фактора, главное чтобы не было доступа к вводу пароля(а то так остается возможность подбора пароля).
« Последнее редактирование: 08 Август 2016, 23:02:41 от Kreet »

alexxnight

  • Гость
Давайте я Вам расскажу как это решается правильно с точки зрения безопасности, а Вы решайте как поступите...

Есть зашифрованный раздел, создается ключ шифрования на основе парольной фразы.

Парольную фразу первого ключа знает ТОЛЬКО администратор.
Дальше есть возможность создать еще 7 ключей для каждого пользователя. У каждого пользователя СВОЯ парольная фраза. Если пользователь себя дескредитировал, администратор удаляет ключ этого пользователя. Остальные пользователи продолжают работу.

В чем недостаток решения с USB. Можно незаметно для пользователя украсть ключ. Украсть же незаметно для пользователя парольную фразу из головы пока невозможно.
Флешка может внезапно выйти из строя. И ВСЕ - нет данных...

может быть Вам подойдет вариант расшифровки раздела через ssh, посмотрите на форуме была тема.

Оффлайн Kreet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Ок у каждого будет свой ключ со своей парольной фразой.
Цитировать
Украсть же незаметно для пользователя парольную фразу из головы пока невозможно.
Кирпич на голову.
Цитировать
Флешка может внезапно выйти из строя. И ВСЕ - нет данных.
Помимо 2-х usb-стиков планируется хранить резервный ключ(в электронном виде) в отказоустойчивом хранилище доступ к которому будет через одноразовые пароли.


Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13751
    • Просмотр профиля
    Украсть же незаметно для пользователя парольную фразу из головы пока невозможно.
Кирпич на голову.
Так можно добиться только стирания парольной фразы.
Получить, да, есть способы, но это уже будет не "украсть"
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.055 секунд. Запросов: 24.