複数のドライブに同じLUKS分離ヘッダを使用できますか?
これを行うときにどのような点に注意する必要がありますか?ドライブが基本的に異なる場合(異なるサイズ、メーカーなど)でもこれは可能ですか?
理由:LUKSを使用して単一のシステムで複数のドライブを使用したいのですが、セキュリティの観点から異なるヘッダーを使用しても利点はありません。しかし、そうしない技術的な理由がありますか?
ベストアンサー1
人為的な
はい、あるディスクから別のディスクにLUKSヘッダーをコピーできます。むしろ、あるブロックデバイスから別のブロックデバイスにコピーできます。つまり、1つのパーティション(ブロックデバイス)のLUKSヘッダをディスク全体を表すブロックデバイスに安全にコピーできます。単に次のことができます。
dd if=/path/to/block/deviceA of=/path/to/block/deviceB bs=2M count=1
udev
ただし、UUIDでブロックデバイスを識別し、それを特定のデバイスファイルに割り当てるなどの方法を使用すると、技術的な制限があります。udev
すべてのドライブが同じUUIDを持つため、混乱する可能性があります。これは、LUKS ヘッダーに UUID が含まれているためです。
これは、LUKSの上に表示されるファイルシステムのUUIDと一致します(ドライブが復号化される限り)/etc/fstab
。mount
LUKSヘッダが全てのブロックデバイスで使用され得るという事実は、デバイスのサイズがヘッダにとって重要ではないことを意味する。単一パーティションでヘッダーを使用すると、パーティションテーブルがブロックデバイスのサイズを知り、ディスク全体でヘッダーを使用すると、カーネルはそのサイズを知っています。
安全
セキュリティの観点からLUKSヘッダをコピーするのは悪い考えです。。 LUKS ヘッダーには、データの暗号化に使用される暗号化キーが含まれています。つまり、パスワードで生成されたキーを使用する代わりに、ヘッダー内のキーを使用してデータを暗号化します。その後、LUKSヘッダーはこの暗号化キーを保存します。この暗号化鍵は、パスワードで生成された鍵で複数回暗号化されます。
3つの異なるパスワードを使用してディスクを復号化できる場合、キーは3回保存されます。毎回1つのパスワードで生成されたキーで暗号化されます。
たとえば、それぞれ2つのパスワードを使用して復号化できる2つのディスクがあり、あるディスクから別のディスクにLUKSヘッダーをコピーしたとします。パスワードの1つが破損すると、暗号化キーも破損します。攻撃者がDiskAを取得し、破損したパスワードを使用してキーを取得した場合、攻撃者はそれを復号化する可能性があるため、DiskBのデータを削除する必要があります。
同じ状況(パスワードが壊れている)からLUKSヘッダーをコピーしないと、回復ははるかに簡単になります。攻撃者がディスクAを所有していてディスクAの暗号化キーを持っていても、ディスクBのデータを復号化することはできません。もちろん、彼は漏洩したパスワードを使用してディスクBからディスクBの暗号化キーを取得できますが、攻撃者よりも速い場合はディスクBから漏洩したパスワードを無効にすることができます。パスワード暗号化キーを達成するために)パスワード)。
したがって、さまざまなヘッダを使用すると多くの利点があります。ヘッダーの目的の1つは、ドライブを復号化するために使用されるパスワードが同じであっても、異なるパスワードを使用し、各ブロックデバイスで暗号化されたデータを異なるキーで暗号化できるようにすることです。