起動ディスクを暗号化できますが、システム起動時にユーザーにパスワードを入力する必要はありませんか?孤立した地域には頭のない箱がいくつかありますが、安全に廃棄されるという保証はできません。
誰かがディスクドライブを取り出して他のデバイスに接続し、その中に何があるのかを見ることはできません。
暗号化の経験はほとんどありませんが、UEFIにキーを保存することを検討していますが、それが可能であるかどうかについての情報が見つかりません。
Ubuntu 18.04 LTSを使用していますが、必要に応じてアップグレードできます。
ベストアンサー1
ディスクドライブを指定されたホストにバインドし、パスワードを手動で入力せずに復号化できるようにするには、通常、暗号化キーをホストのTPM(Trusted Platform Module)などに保存またはバインドする必要があります。これらの設定を有効にすると、ディスクがホストから削除されたときにディスクの復号化ができなくなります。
ネットワークが信頼できる場合のもう1つの可能な解決策は、暗号化キーをネットワーク(厳密にはネットワーク内の一種のキーサーバー)にバインドすることです。この設定を有効にすると、ホストが正しいネットワーク上にない限り、ディスクを復号化できません。
どちらも以下でサポートされています。U字型クリップ。 U字型クリップはTPM2または唐キーバインディングの場合、Shamir秘密共有を使用して複数のキーソースを結合することもできます。どちらの場合も、プロセス中に特定の時点にアクセスできないキーを使用して機密性が保証されます。 TPMに保存されているキーはTPMから抽出できず、ネットワーク上の他の場所にあるホストに保存されているキーからも抽出できません。キー。
次のような他のツールがあります。TPM-LUKS。