より強力な認証検証を容易にするために、スマートカード(OpenSCを使用)のPKIキーをeCryptFSインストールと統合しようとしています。
ファイルシステムのパスワードを暗号化する方法は次のとおりです。
pkcs15-tool --read-public-key $KEYID > ~/userpub.key
<(generate 63 digit random string> | openssl rsautl -encrypt -inkey \
~/.userpub.key -pubin -out ~/.ecryptfskey
暗号化されたら、それを復号化する唯一の方法は、スマートカードのエクスポートできない秘密鍵を使用することです。
実際にファイルシステムをマウントするには、次のようにします。
exec 3<<<`pkcs15-crypt --raw --decipher --pkcs1 -k $KEYID -i ~/ecryptfskey`
mount -t ecryptfs $DIR $DIR -o key=passphrase:passphrase_passwd_fd=3,(etc)
同様の方法を使用して、他のユーザーの公開鍵を使用してファイルシステムパスワードを暗号化してファイルを共有することもできます。
暗号化されていないキーは、ワンタイム読み取りのためにファイル記述子を介してインストールコマンドにリンクされているため、これは安全な方法に見えます。私のアプローチに明らかなエラーがありませんか?より安全な方法はありますか?
オンデマンドで使用するためにファイルレベルの暗号化を有効にしようとしています。私たちのコンピュータは常にオンになっているため、LUKSは機能しないため、フルドライブ暗号化は役に立ちません。
(注:私たちはpkcs11-helperなしでeCryptFSバージョンを使用しています)