Комментарии 17
Все жду когда появится возможность иметь ключ шифрования как физический ключ (ака флешка)
Вставил в комп и все работает без танцев с бубном. Ключа нет, ничего недоступно.
Такое особенно актуально для каких-то критических вещей которые нужно перевозить коробками и контейнерами.
Эотя и для личного пользования так же удобнее. Криптостойкий пароль это ужас ручного ввода. А внутренние чипы на материнке - есть куча гайдов и обзоров как их дампить и тд.
Все жду когда появится возможность иметь ключ шифрования как физический ключ (ака флешка) Вставил в комп и все работает без танцев с бубном. Ключа нет, ничего недоступно.
Да, это было бы интересно. Но именно для мобильных машинок, когда по дороге потеряли / спёрли лэптоп, но ключ был на флешке и остался при тебе. Хотя ИМХО в 99% случаев теряют или крадут лэптоп как железо для перепродажи, а не как источник ценных данных.
Потому что для сервера - это ключ постоянно будет торчать в сервере и периодически ломаться при физическом контакте с саппортом, который его случайно задел.
Я смотрел на предмет можно ли прикрутить имеющийся у меня Yubikey для загрузки, и понял, что пока только для логина пользователя.
Я смотрел на предмет можно ли прикрутить имеющийся у меня Yubikey для
загрузки, и понял, что пока только для логина пользователя.
Сам тоже не пробовал, так как нету даже нормального ключа, но выглядит несложно. Что касается выключения при извлечении, то можно провернуть через udev rules. Вон готовый пример для блокировки экрана, в скрипте надо заменить команду на shutdown -h now или echo 1 > /proc/sys/kernel/sysrq; echo o > /proc/sysrq-trigger, если хочется побыстрее :)
Для сервера - это ключ может постоянно торчать внутри сервера и никогда не ломаться при физическом контакте с саппортом, который его случайно задел. Ибо саппорт сильно редко будет залезать внутрь сервера, особенно при условии, что доступ к серверу фиксируется по считывателю в ручке, а потом и по датчикам на извлечение сервера из стойки.
Для сервера - это ключ может постоянно торчать внутри сервера
не знаю, а зачем он нужен тогда в сервере?
ИМХО (не претендуя на истину в последней инстанции) для серверов как раз TPM вполне достаточно. Он позволит с одной стороны обеспечить FDE, а с другой не требует пароля при перезагрузке.
А вот внешний ключ, который вытащил и ничего не грузится - имеет смысл именно для постоянно путешествующего ПК / лаптопа / сервера, когда лэптоп едет в ручной клади, а ключик лежит в кармане, и даже если лаптопу сделают ноги - то загрузить его без ключа не смогут.
Поздравляю, Вы только что изобрели TPM модуль.
systemd homed
https://systemd.io/HOME_DIRECTORY/
Гуглите "LUKS detached header". Заголовок храните на флешке, без заголовка, разумеется, внутренний накопитель не расшифруется.
Под Windows BitLocker позволяет сделать предохранителем ключевой файл на внешнем накопителе. Если накопитель вставлен, системный раздел расшифруется при загрузке.
Флешки это таки очень ненадежно.
Я бы хотел какой то принцип выжигаемой памяти, причем как и с физическими ключами - секрет есть с обоих концов. То есть просто склонировать ключ не поможет так как есть проверка на внутренний идентификатор который может расшифровать только родной "замок"
Но даже без замороченой криптографии, сталая память которая раз выжглась и все хороша тем что у тебя не болит голова о сохранности флешки. Все же часто юзаемые флешки умирают по експлуатационным причинам лет через 5
Здравствуйте, порос не по теме, в ubuntu через gnome-tweaks поменял комбинацию клавиш на переключение языка, язык меняется но вот вверху не показывает как меняется раскладка, как это пофиксить, нет ответов в инете
Добрый день, я страшный ламер в этой теме, но мне нужна полностью зашифрованная Mint, и есть вопрос: Ваш метод (выглядит наиболее выгодно для домохозяек среди остальных) шифрует и grub? Пробная установка на тестовый ноутбук вроде бы сработала, за статью спасибо.
именно, это full disk encryption. Т.е. шифруется всё находящееся на диске.
Единственное, я не знаком с Mint'ом, поэтому не знаю, поддерживает ли его установщик FDE шифрование (как я отметил в статье, Kubuntu пока не поддерживает).
Спасибо за ответ, отлично! Да, установщик Mint показал в ожидаемом этапе установки нечто похожее на "Enabled hardware-backed full disk encryption", сейчас установлю и перепроверю. В старых туториалах про LUKS в Ubuntu FDE делается с огромным бубном и плясками, а тут прямо подарок в этой версии.
А как проверить зашифрованность? Если с Live USB не пускает в домашнюю папку, например, то зашифровано?
точно не подскажу, но ИМХО, если вставить диск в другой ноут / материнку, то не должен с него грузиться, или что-то видеться, так как все ключи остались в TPM на старой мат.плате.
Да, кажется, так и работает: из другой системы структура каталогов зашифрованного диска видна, но для прохода внутрь требует пароль и не принимает его. По крайней мере, из-под Linux. Интересно, как из винды виден такой диск.
Кстати, при установке Вашим способом можно как-то заставить систему использовать btrfs? Я почему-то не увидел опций выбора типа ФС, на убунте это у Вас было, или тоже по какому-то умолчанию само отработало?
Публикации
Установка Ubuntu 24.04 с полным шифрованием диска и использованием TPM