フルディスク暗号化を含むUbuntu設定(12.04に設定)が必要だとします。 Ubuntuはインストール中にこのオプションを提供します。
また、誰か(私のベンダーなど)が私のためにこれを設定し、事前定義された暗号化されたパスワード(もちろん他のすべてのパスワードも含む)を含む完成したシステムを得たとしましょう。
この人を作る方法はありませんか?安定して暗号化パスワード(および他のパスワードも利用可能)を変更しても、デバイスの暗号化されたデータに引き続きアクセスできますか?
(SSHキーやルートシェルをインストールしたり、外部からコマンドを受け入れるためにいくつかのデーモンをパッチしたりするなどの一般的なバックドアについては言いません。なしでシャットダウンする場合は、システム全体を再インストールまたは再暗号化します)。
たとえば、TrueCryptを使用すると、暗号化されたハードドライブの最初のセクタを保存できます(または実際に保存しました)。マスターキーの暗号化にのみパスワードを使用するためです(以降、データの暗号化に使用されます)。パスワードが変更された後にこれらのセクタをマスターキーで暗号化すると、実際に暗号化パスワードの変更をキャンセルできます。
dm-crypt/LUKSは同様の機能を達成できますか?そうでなければ似たものはありますか?
ベストアンサー1
もちろんです。プロバイダはマスターキーのみを保持できます。 LUKSヘッダーのバックアップ。このキーはパスワードを変更しても変更されないため、すべてのデータに完全にアクセスできます。したがって、ここでは完全に信頼に依存しています。バックドアと他のすべてが最も重要です。
マニュアルページに加えて、Cryptsetup FAQを読む価値があります。
http://code.google.com/p/cryptsetup/wiki/FrequentlyAsked質問
さまざまな脆弱性に対処しています。あなたの質問に対する答えもそこにあります6.7 バックアップによりセキュリティが損なわれますか?
私はベンダーではありませんが、この場合はマスターキーを保持するバックアップサービスを考えてみましょう。コンピュータをよく知らない人に製品を販売すると、その人はパスワードを忘れて私に助けを求めることができます。この場合、マスターキーを持つことが役に立つ唯一の方法です。ただし、何百万もの可能性で範囲を狭めることはできません(たとえば、パスワードをある程度知っていますが、どのようなバリエーションを使用するのかわからない場合)。もちろん、そうすれば正直に言うべきです。
システムを信頼できるようにするには、常にシステムを直接設定する必要があります。これには、データセンターイメージのインストールサービスと他のすべての種類のサービスが含まれます。