Как настроить шифрование для конкретной машины, чтобы только одна машина могла расшифровать данные
Вы должны перекомпилировать ядро, чтобы иметь возможность загрузить модуль cryptoloop .
Отредактируйте свой source.list, раскомментируйте deb-src, затем выполните следующее:
apt update
apt-cache search linux-source
Затем установите соответствующий исходный код ядра (linux-source- 4.6.0 является примером):
apt install kernel-source-4.6.0
, затем
mkdir ~/kernel; cd ~/kernel
tar -xvf /usr/src/linux-source-4.6.0.tar.xz
cd linux-source-4.6.0
cp /boot/config-4.6.0-kali1-amd64 ~/kernel/linux-source-4.6.0/.config
Чтобы включить поддержку cryptoloop, см.: Cryptoloop HOWTO
Run ; make menuconfig
enable: Драйверы устройств -> Блочные устройства -> Поддержка устройств Loopback
Затем скомпилируйте ядро.
Безопасность повышается, если только одна машина может выполнять дешифрование.
Однако доступность может серьезно пострадать, если эта машина выйдет из строя.
Как бы вы предложили разрешить только одному компьютеру расшифровать раздел LUKS? Мне просто нужно было бы получить набор переменных, специфичных для моей машины, и добавить их в парольную фразу [...]
Ну, вы могли бы использовать серийные номера некоторых аппаратных средств ( sudo dmidecode , чтобы увидеть some), но это менее полезно, чем вы думаете. Если у злоумышленников есть физический доступ к компьютеру, они могут заставить его показать им серийные номера оборудования и разрушить схему. Если у злоумышленников нет физического доступа к компьютеру, вы можете просто использовать ключевой файл, хранящийся на незашифрованном разделе внутреннего диска, или на флэш-накопителе, или на SD-карте, или на оптическом диске. и т. д.