dm-crypt/LUKS:一次性密码

Question

我用dm-crypt / luks建立了一个拱门，有一个密码和一个密钥，其中一个丢失了将无法登录。

但我觉得我需要更安全的密码，如何建立dm/ luks有一次密码机制？

Answer 1

设置OTP可能不是您可以轻松和安全地做的事情。还有其他办法来解决你的问题-

LUKS支持多达8个同时进行的密码。您可以很容易地将其中一个设置为不同的、长的、复杂的和模糊的(或密钥文件)，并将其放置在一个离地安全的位置。

类似地，如果您获取LUKS标头的副本(这有其他好处)，您可以使用不同的初始键将标头设置为常规键，然后恢复它--这会将密钥和标头保留在不同的位置，以使其更难妥协。有关如何保存头部和使用多个密码短语/键的方法，请参见https://www.lisenet.com/2013/luks-add-keys-backup-and-restore-volume-header/

Answer 2

更好的选择是：

• TPM解锁，
• FIDO2 2/U2F解锁，
• PKI卡解锁。所有这些都可以由systemd-cryptenroll完成，Arch对此有详细的说明。搜一下就行。

我个人使用TPM进行非托管解锁，使用PIN处理用户数据。

对于动态解锁(比如可移动的USB驱动器)，我更喜欢FIDO2 (它需要一个用户PIN，但例如Yubikey Bio可以将您的指纹用作U2F解锁的附加因素，但这是不标准的)。

永远不要忘记添加一个额外的密码(生成的高熵，密码支持为您提供如果(指的人)和备份LUKS头;)。