🤺 🙅🏿 🙌🏼 Yubikey 4を使用して暗号化されたLUKSパーティションをマウントするときの2要素認証 ✊🏼 👩🏼‍🏭 🖲️

パート3：Yubikey 4とLUKS

はじめに

この記事では、Yubikey 4キーを使用して暗号化されたLUKSパーティションをマウントする2要素認証の実装について説明します。

Yubikey 4キーを使用して2要素認証を実装し、暗号化されたLUKSパーティションをマウントするプロセスは、3つの部分に分けることができます。

1. LUKSセクションの準備。
2.オペレーティングシステムでYubikey 4キーを使用する準備をします。
3.二要素認証にYubikey 4キーを直接使用します。

初期条件：

Linux Mint 18 Sarah 64-ビット
ユビキー4

LUKSセクションの準備

既存のLUKSセクションの予備分析が必要です。

Yubikey 4キーを使用した2要素認証を使用するには、LUKSセクションに1つの空きスロットが必要です。したがって、空いているスロットの数とスロットを知る必要があります。

さらに、メインキーを紛失（誤って書き換え）した場合に備えて、追加の（バックアップ）キーを入力すると便利です。追加のセキュリティ対策として、MasterKeyダンプを作成できます。

/ dev / sdb1ではなく、実際のシステムでは別のデバイスを使用できることに注意することが重要です。この記事のコマンドは、説明のために提供されています。たとえば、システムでは、デバイス/ dev / sdb5になります。

8つのLUKSキースロット

LUKSは、暗号化された1つのパーティションに8つのスロットを使用します。各パーティションには個別のキーを保存できます。 8つのキーのいずれかを使用して、パーティションを復号化できます。 1つのキーのみを使用することも、8つすべてを割り当てることもできます。
すべてのスロットを表示するには、 cryptsetupコマンドを使用する必要があります。

# cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED

この例では：

/ dev / sdb1-LUKSセクション。
キースロットは番号0から始まります。したがって、スロット0〜7を使用できます。
ENABLED-スロットにはLUKSセクションに割り当てられたキーが含まれます。
キーを保存するために2つのスロットが指定されています。

新しいキーを追加する

暗号化されたLUKSセクションの新しいキー（パスフレーズ）を追加するには、luksAddKeyコマンドを使用します。

 # cryptsetup luksAddKey /dev/sdb1 Enter any passphrase: Enter new passphrase for key slot: Verify passphrase:

この例では：

/ dev / sdb1-暗号化されたパーティション
パスフレーズを入力します。-既存のキーを入力します
キースロットの新しいパスフレーズを入力します。-新しいキーを入力します
パスフレーズの確認：-新しいキーの入力を繰り返します

新しいキーは、次に使用可能なスロットに追加されます。この場合、スロット2になります。

 # cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: ENABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED

指定されたスロットに新しいキーを追加する

指定されたスロットにキーを追加するには、スロット番号で-Sオプションを使用します。

 # cryptsetup luksAddKey /dev/sdb1 -S 5 # cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: ENABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: <b>ENABLED</b> Key Slot 6: DISABLED Key Slot 7: DISABLED

既存のキーを削除する

既存のキーを削除するには、luksRemoveKeyコマンドを使用します。

 # cryptsetup luksRemoveKey /dev/sdb1 Enter LUKS passphrase to be deleted:

キーを削除する場合、スロット番号は使用されません。パスフレーズ-キー（ターゲットスロットに割り当てられたキー）を入力する必要があります。

 # cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: ENABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED

キーの削除

キーを削除するには、luksKillSlotコマンドを使用します。このコマンドは、ターゲットスロットのキーがなく、このスロットからキーを削除するだけの場合に使用されます。

スロット番号2からキーを削除します。割り当てられたLUKSキーを入力するよう求められます。

 # cryptsetup luksKillSlot /dev/sdb1 2 Enter any remaining LUKS passphrase:

結果：

 # cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: DISABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED

ファイルから新しいLUKSキーを追加する

ファイルから新しいキーを追加することもできます。

 # cryptsetup luksAddKey /dev/sdb1 masterkeyfile Enter any passphrase:

この例では：

masterkeyfileには、追加する新しいキーが含まれています。バイナリ（バイナリ）ファイルである必要があります。
パスフレーズの入力を求められたら、指定された/ dev / sdb1パーティションの既存のキーのいずれかを入力する必要があります。

結果：

 # cryptsetup luksDump /dev/sdb1 | grep Slot Key Slot 0: ENABLED Key Slot 1: ENABLED Key Slot 2: ENABLED Key Slot 3: DISABLED Key Slot 4: DISABLED Key Slot 5: DISABLED Key Slot 6: DISABLED Key Slot 7: DISABLED

忘れられたLUKSキーをリセットする-新しいキーをインストールする

サーバーをリブートし、LUKSパスワードを忘れたために暗号化されたLUKSパーティションをマウントできない場合、オプションはありません。データが失われます。再度パーティションを操作する必要があります（暗号化、場合によっては再パーティション化、ファイルシステムの作成、データの入力）。

ただし、暗号化されたLUKSパーティションがまだ開いている場合、システムを再起動せずに、まだマウントされているこのパーティションのLUKSパスワードを忘れてしまった場合、新しいLUKSキーを割り当てることができます。

「LUKSパスワードを忘れた」シナリオでは、次の2つの手順を実行できます。

LUKSセクションから現在の暗号化キーを抽出します。
事前に割り当てられたキーを使用して、新しいLUKSキーを作成します。

この例では、暗号化されたLUKSパーティションである/ home1パーティションがマウントされていますが、そのパスワードは不明です。

 # df -h Filesystem Size Used Avail Use% Mounted on /dev/sda1 127G 44G 76G 37% / /dev/mapper/home1 93G 188M 88G 1% /home1

ボリューム名は、「/ dev / mapper /」の後の「df -h」コマンドの出力の最初の列にあります。この例では、ボリューム名は「home1」です。

次のコマンドは、システムにマウントされているすべてのパーティションのすべての暗号化キーのリストを表示します。

 # dmsetup table --showkeys home1: 0 197259264 crypt aes-cbc-essiv:sha256 607f482870c795a9b1e307ffbfc6643eaa219e9ef8c6773de02cd298c8fcda3c 0 8:17 4096

「aes-cbc-essiv：sha256」の後のフィールドは、暗号化されたパスワードです。暗号化されたLUKSキーを取得し、ファイルに保存します。

 # vi existinglukskey.txt 607f482870c795a9b1e307ffbfc6643eaa219e9ef8c6773de02cd298c8fcda3c

したがって、受信したキーをテキストファイルからバイナリファイルに変換します。これを行うには、「xxd」コマンドを使用します。

 # xxd -r -p existinglukskey.txt existinglukskey.bin

この例では：

逆変換の-rオプション。これにより、hexdumpがバイナリに変換されます。
ポストスクリプトを処理する-pオプション。ここでは、manマニュアル（postscript連続hexdumpスタイルで出力。プレーンhexdumpスタイルとも呼ばれます）を適切に翻訳することは困難です。
existinglukskey.txt入力ファイル。
既存のlukskey.bin出力ファイル。バイナリファイルに既存の暗号化されたLUKSパスワードが含まれます。

最後に、バイナリファイルで選択した既存のキーを使用して、新しいLUKSキーを追加します。

 # cryptsetup luksAddKey /dev/sdb1 --master-key-file <(cat existinglukskey.bin) Enter new passphrase for key slot: Verify passphrase:

この例では：

--master-key-fileバイナリファイルを指定します。入力の既存のlukskey.txtファイルを使用しないでください。出力の既存のlukskey.binファイルを使用します。
ご覧のとおり、cryptsetup luksAddKeyコマンドは、バイナリファイルから取得されるため、既存のLUKSパスワードについて尋ねません。
「キースロットの新しいパスフレーズを入力してください：」というプロンプトが表示されたら、新しいLUKSパスワードを入力します。そして、今回は忘れないでください。

LUKS MasterKeyをダンプする

MasterKeyをダンプして、安全な場所に保管することもできます。 MasterKeyダンプを使用すると、だれでもLUKSセクションにアクセスできることに注意してください。

 # cryptsetup luksDump --dump-master-key /dev/sdb1 Are you sure? (Type uppercase yes): YES Enter LUKS passphrase: LUKS header information for /dev/sdb1 Cipher name: aes Cipher mode: cbc-essiv:sha256 Payload offset: 4096 UUID: 146d639a-757c-4bcb-aee6-8fe815345104 MK bits: 256 MK dump: 60 7f 48 28 70 c7 95 a9 b1 e3 07 ff bf c6 64 3e aa 21 9e 9e f8 c6 77 3d e0 2c d2 98 c8 fc da 3c

したがって、上記の方法を使用して、さらにアクションを実行するには以下を実行する必要があります。

暗号化されたLUKSパーティションを持つデバイスを特定します。
キーを書き込むために空きスロットを決定します。
必要に応じて、新しいキーを追加します（バックアップ）。

ソース

翻訳はこのサイトに基づいています。

cryptsetupユーティリティの操作に関する詳細な説明は、この記事の範囲外です。
ご希望の方は、cryptsetupユーティリティのアプリケーションとオプションを独自に理解することができます。始めるためのリソースは次のとおりです。wiki.archlinux.org 、 gitlab.com 。

オペレーティングシステムでYubikey 4キーを使用する準備

Yubikey 4キーを使用するには、ソフトウェアをインストールする必要がありますUbuntuバージョン16.04以降に基づくシステムでは、次のコマンドが実行されます。

1. sudo apt-get install yubikey-luks
2. sudo apt-get install yubikey-personalization
3. Yubikey 4キーをUSBスロットに挿入して、コマンドを実行します。

 ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

Yubikeyには2つのスロットがあります。ここではスロット＃2が使用されるため、スロット＃1は通常の「OTP」モードで使用できます。

4. Yubikey 4キーをLUKSスロットに「バインド」するには、「yubikey-luks-enroll」コマンドを使用します。実行可能ファイル（スクリプト）は、/ usr / bin / yubikey-luks-enrollにあります。このスクリプトは、LUKSパーティションがデバイス/ dev / sda5上にあると想定しています。これが当てはまらない場合は、スクリプトをホームディレクトリにコピーして、行を調整します。

 DISK="/dev/sda5"

BIOSとUEFIを搭載したシステムでは、暗号化されたパーティションに使用されるデバイス名に違いがあることに注意してください。 BIOSを使用してブートするシステムの場合、暗号化のデフォルトのボリューム名は/ dev / sda5です。 UEFIブートを備えたシステムの場合、暗号化されたパーティションのデフォルトのボリューム名は/ dev / sda3です。

5.スクリプトyubikey-luks-enrollのパラメーターを調整した後、実行します。スクリプトが実行されると、新しいパスワードが要求されます。このパスワードはYubikey 4に送信されて回答（チャレンジレスポンスモード）が作成され、システムの起動時に2要素認証に使用できます。

Yubikey 4キーを使用した2要素認証

Yubikey 4キーをコンピューターのUSBスロットに挿入します。
コンピューターの電源を入れます。
パスワード入力フィールドに、通話パスワード（yubikey-luks-enrollスクリプトの実行時に作成されたパスワード）を入力します。キーボードのEnterキーを押します。
Yubikeyキーに通話パスワードを送信し、応答を受信すると、LUKSパーティションの暗号化解除プロセスが開始され、その後オペレーティングシステムがロードされます。
復号化プロセスが完了したら、Yubikey 4キーをUSBスロットから削除できます。

Yubikey 4キーが失われた（存在しない）場合でも、以前に入力したパスワードフレーズを使用してパーティションを復号化することができます。もちろん、パスフレーズが以前に入力され、LUKSセクションのスロットの1つに保存されていない限り。

おわりに

認証プロセスの2番目の要素としてYubikeyデバイスをキーとして使用すると、暗号化されたLUKSパーティションを操作するセキュリティが大幅に向上します。

Yubikey 4を使用して暗号化されたLUKSパーティションをマウントするときの2要素認証

パート3：Yubikey 4とLUKS

はじめに

LUKSセクションの準備

8つのLUKSキースロット

新しいキーを追加する

指定されたスロットに新しいキーを追加する

既存のキーを削除する

キーの削除

ファイルから新しいLUKSキーを追加する

忘れられたLUKSキーをリセットする-新しいキーをインストールする

LUKS MasterKeyをダンプする

オペレーティングシステムでYubikey 4キーを使用する準備

Yubikey 4キーを使用した2要素認証

おわりに

More articles: