Кирилл Мещеряков пишет:Здравствуйте, Dmitry.
Я не знаю про luks, но truecrypt например позволяет хранить на токенах ключевой файл через интерфейс pkcs#11.
.
да. опыт руководства воспроизводим. во всяком случае, опробован мною под Gentoo.
Reading data object <0>
applicationName: key1
Label: key1
applicationOID: NONE
Path: 3f0050150501
Auth ID: 02
Научиться бы еще в текстовом режиме все это делать, а не через gui, как там показано. Ибо иксов на машине, где это нужно, и близко не будет. да и не нужно.
ничего толкового по теме. лишь политика про то, что trucrypt больше не opensource и прочая мура желтой прессы.
На оффсайте есть руководство по комстроке, но руководство, как справочник. То есть, какие ключи при наборе команды с какими еще можно использовать и как правильно - не ясно. На ощупь, что не гуд.
как пример:
truecrypt --create-keyfile --encryption=SHA-512
Error: Unknown option: SHA-512
хотя все эти ключи в справке есть. хотя, здесь опция hash нужна, естественно. ну.. все же, как пример комбинаций, когда возникает путаница.
truecrypt --create-keyfile --hash=SHA-512
truecrypt --import-token-keyfiles --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt --list-token-keyfiles --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt -c volume.cnt --encryption=AES --hash=SHA-512 --keyfiles=token://slot/0/file/ss.key --token-lib=/usr/lib/opensc-pkcs11.so -p ""
truecrypt volume.cnt 1/ --keyfiles=token://slot/0/file/ss.key --token-lib=/usr/lib/opensc-pkcs11.so -p "" --protect-hidden=no
truecrypt -d volume.cnt
работает.
но правильно ли так.
к примеру, таким образом, если сделать импорт, то и экспорт ключа - не вопрос. он извлекаем. проверено.
truecrypt --export-token-keyfile --token-lib=/usr/lib/opensc-pkcs11.so
truecrypt mega.cnt 1/ --keyfiles=rr.key -p "" --protect-hidden=no
точка монтируется.
а нужно, что бы ключ был не извлекаем.
Разобраться, как добавлять ключи с другого рутокена на случай, если одно из устройств сгорит, или же иным образом уйдет из мира сего.
То есть - зашифровали вы раздел, а через некоторое время потеряли рутокен. что бы был резерв. процедура резервирования ключей. какова она.
Ни, и потом. Мы имеем дело с контейнерами, которые при неправильном демонтаже (выключили свет, или какой иной отказ) могут развалиться. То есть, можно ли одним и тем же ключом зашифровать несколько разделов. Идея - делать периодический бэкап (через тот же rsync) одного раздела (каталога в нем) на другой так же зашифрованный.
"f the smartcard is damaged or lost, you will loose your key file.
At that point, you should backup your keyfile on a CD or DVD and keep it in a safe place.
After backup, you may consider erasing your keyfile from disc, as you no longer need it.
But you should always keep a backup."
видимо, все же ключи можно хранить.
2.6.39-gentoo-r3 #1 SMP i686 Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz GenuineIntel GNU/Linux
