フォローするはいYubiKeyでFIDO2キーを追加する方法はありますが、YubiKeyを使用してコマンドラインからロックを解除する方法がわかりません。指示には起動時のロック解除に関する情報が記載されていますが、これは私が望むものではありません。
設定
128MiBファイルを生成してブロックデバイスにし、loop0LUKSを設定します。
$ dd if=/dev/urandom of=disk.bin bs=1M count=128
128+0 records in
128+0 records out
134217728 bytes (134 MB, 128 MiB) copied, 0.534038 s, 251 MB/s
$ losetup /dev/loop0 disk.bin
$ cryptsetup luksFormat -y /dev/loop0
WARNING!
========
This will overwrite data on /dev/loop0 irrevocably.
Are you sure? (Type 'yes' in capital letters): YES
Enter passphrase for temp.bin:
Verify passphrase:
Yubikeyを追加しました。
$ systemd-cryptenroll /dev/loop0 --fido2-device=auto --fido2-with-client-pin=yes
ベストアンサー1
PINを要求するようにFIDO2セキュリティトークンを設定すると、両方がキーボードを介してホストに入力されるため、通常のLUKSパスワードフレーズエントリと競合します。このオプションは、--token-onlyパスワードの代わりにPINが入力され、セキュリティトークン(ここでは単一と仮定)に渡されることを示すために使用されます。
sudo cryptsetup open --token-only /dev/loop0 loop0_encrypted
--token-only外部ディスク/USBスティックなどを接続するときなど、手動FIDO2+PINを使用する場合は使い方が非常に簡単です。cryptsetupパスワードスロットがないときにPIN入力に自動的に切り替えることは、合理的な使いやすさの改善のように聞こえます。 (やるべきこと:デフォルトの動作が変わったら答えを更新してください。)
テストの使用パスワード設定 v2.6.1(タグ付き2023-02-09)Debian 12(Bookworm)、Ubuntu 23.04(Lunar Lobster)、Fedora F38などに適用可能
上流からcryptsetup open文書。 (強調します。)
有効なLUKS2トークンが存在しますが、PINが必要指定されたキーホームのロックを解除するには、次のようにします。以下を除いては使用されません。次のいずれかのオプションを追加します。
--token-only、必須PIN保護トークンまたは一致するPIN保護トークンと一致--token-typeします。type--token-idid
Debian 12 のマニュアルページ。 (強調します。)
--token-only
トークンベースのキーホームのロック解除に失敗した場合は、進まないでください。このオプションがない場合、操作を続行するにはパスワードが必要です。これにより、LUKS2トークンを次のように保護できます。PINは、対話型キーウェイパスワードプロンプトよりも優先されます。。