LUKSで暗号化した外部メディアを秘密鍵バックアップに使う
Posted: | Tags: backup, cryptsetup, Linux, LUKS
LUKSで暗号化した外部メディアを秘密鍵バックアップに使う
秘密鍵の backup は、単に別 directory へ copy しても十分ではない。
同じ workstation 上に平文 copy を増やすと、disk 故障や誤削除には少し効くが、侵害時の影響範囲はあまり変わらない。普段は unplug しておく外部メディアを暗号化し、必要な時だけ mount する方が扱いやすい。
ここでは Linux で USB メモリや SD カードを LUKS2 化し、小さい秘密ファイルを保存する手順を整理する。
方針
- media 全体を LUKS2 にする
- backup 対象は暗号化済み filesystem を mount してから copy する
- plain filesystem へ一時 copy してから暗号化しない
- backup 後は fingerprint や hash で内容を確認する
- mount 解除後に LUKS mapper も close する
- media の label、serial、保管場所、passphrase は公開メモに書かない
対象デバイスの確認
cryptsetup luksFormat、mkfs、wipefs は破壊的である。まず read-only な確認だけを行う。
lsblk -o NAME,PATH,TRAN,MODEL,SIZE,FSTYPE,LABEL,UUID,MOUNTPOINTS
udevadm info --query=property --name=/dev/sdX | grep -E '^(ID_BUS=|ID_MODEL=|ID_SERIAL=|ID_FS_TYPE=|ID_FS_LABEL=)'
見る点:
Read more...