Ubuntu Elementary OS FreyaのUSB暗号化ログイン[閉じる]

誰かがコンピュータに物理的にアクセスできる場合は、代替メディアから起動して目的のコードを実行できます。または、ロックされている場合は、ハードドライブを取り外してコンピュータに接続できます。

ユーザーがコンピュータにアクセスできる場合は、コンピュータでコードを実行するのを防ぐことはできませんが、暗号化を使用してデータにアクセスするのを防ぎます。その後、コンピュータにアクセスすると暗号化されたデータのみが表示され、暗号化キーを取得しないと復号化できません。

Linuxを初めて使用する場合は、ディストリビューションを再インストールし、インストールプロセス中に「フルディスク暗号化」（または同様の名前）を選択することをお勧めします。基本的なオペレーティングシステムを含むほとんどのディストリビューションは、この可能性を提供します。インストールを暗号化に変換することは可能ですが、これは非常に高度な技術であり、誤ってデータを削除する危険性が高くなります。したがって、バックアップが最新であることを確認して再インストールしてください。

暗号化を設定する簡単な方法は、パスワードを使用することです。パスワードの欠点は、セキュリティのために十分にランダムでなければならず、十分にランダムなパスワードは覚えにくいということです。十分にランダムでないパスワードは推測される可能性があります。 ㅏ良い妥協あるランダムに複数の単語で構成されるパスワードを生成します（例：句読点に関する一般的なl33tspe4k+悪いアドバイスよりはるかに優れています。）。

Linux用ディスク暗号化システム（DMパスワード）は「キーファイル」の使用もサポートします。キーファイルは本質的にパスワードですが、キーボードで入力するのではなくファイルから読み込みます。キーファイルの利点は、推測が不可能な長くて任意のゴミである可能性があることです（しかし、覚えておくことは不可能なので、スマートカードやUSBキーに保存します）。私が知っている限り、通常のディストリビューションは完全な設定方法を提供していないので、手動で設定を実行する必要があります。バラよりパーティションを自動的に復号化するようにLVMとLUKSを構成する方法は？またはUSBからLUKSパスワードをロードしてキーボードに戻る方法は？指示のために。

最初に作成した覚えやすいパスワードでディスクのロックを解除したくない場合は、覚えていませんが、入力できる長くランダムなパスワードを別の復号化キーとして追加してください（cryptsetup luksAddKey /dev/sda2 'the long random non-memorable but typable password'）。長くランダムで覚えにくいですが、入力できるパスワードを印刷してセーフティボックスに保管してください。動作していることをテストし、最初に作成した覚えやすいパスワードを削除します（cryptsetup luksRemoveKey）。

ログインしている場合は、USBキーを使用してディスプレイをロック解除する方法に違いがあります。この時点でディスク暗号化キーはまだメモリにあるので、ユーザーがする必要があるのは、そのキーを使用する権限があることをコンピュータに証明することだけです。この目的のために、より短い（しかし完全に些細ではない）パスワードは大丈夫です。これは、攻撃者がそのパスワードを使用しようとすると、コンピュータが試行を承認できる速度によって制限されるためです。これは、専用ハードウェアでオフラインで同時に実行できるキーの復号化の試みとは異なり、オンライン攻撃です。

それでもUSBキーを使用してコンピュータのロックを解除したい場合は、リンクされたブログ投稿が合理的なアプローチであるようです（まだすべてのコマンドを詳細に確認していません）。うまくいかない場合は、このサイトでより正確な質問をすることをお勧めします。何をしましたか（コマンドをコピーして貼り付けます）？正確な動作は何ですか（すべてのメッセージをコピー貼り付け）？

あなたのシステムは依然としてより進化した攻撃に対して脆弱です。暗号化では防止できません邪悪なメイド攻撃。これを行うには、セキュアブートを設定する必要があります。暗号化ソフトウェアの基本的な使用ではこれを防ぐことはできません。コールドスタート攻撃、攻撃者はライブシステムからRAMスティックを獲得し、内部のどこかにまだ残っている暗号鍵を読み取ろうとします。持つLinuxカーネルパッチキーをRAMに保存したくない場合は（CPUレジスタにのみ保存され、実際には物理的に抽出できません）