Debian
加密主要數據 Linux 分區,使其僅由唯一系統訪問
如何加密 Linux 內部磁碟,以便只能通過安裝在 USB 驅動器上的唯一系統(預裝的 Debian Bullseye)訪問它?即使有人擁有加密密碼和物理訪問權限,如果沒有 USB 驅動器保存其他系統,他也不應該能夠訪問它。
有沒有辦法做到這一點?
僅適用於安裝在 USB 驅動器上的唯一系統(預裝的 Debian Bullseye),即使有人擁有加密密碼
**沒有。**在密碼學中,加密的安全性始終由密鑰的保密性提供,而不是通過不給某人解密軟體來提供。最後,這就是您的要求:只有正確的軟體才能解密您的驅動器。
但是,我認為稍微改寫您的問題可以讓我們積極回答這個問題。
我可以將解密密鑰放在 U 盤上,以便只有持有該 U 盤的人才能解密?
是的,這很標準。只需遵循有關如何將 LUKS 密鑰放在外部 USB 驅動器上的眾多指南之一,就可以了。
另請注意,可以複製儲存在 USB 驅動器上的任何內容 - USB 驅動器只是“愚蠢”的儲存。所以,如果你需要一些不可複制的東西,那麼這也不是一個解決方案。
您將需要一個不可複製的加密設備(即,包含密鑰本身的設備,並在內部進行解密,從不洩露密鑰本身),這樣您就可以確保在不洩露密鑰的情況下永遠不會洩露解密訪問權限卡片。(除非您允許任何人更改驅動器加密的設置,因為那樣他們就可以添加另一個密鑰……但這是另一回事。)
然後,這變得有點特定於您要使用的設備類型(nitrokey、TPM2 設備、FIDO 密鑰……),但“LUKS + {設備名稱}”將是要搜尋的術語。