Administrace komentářů

To se řeší tak, že se

• přidá key slot ke každému oddílu, který nebude založený na hesle, nýbrž na malém souboru s náhodnými daty,
• přidá položka do /etc/crypttab pro každý oddíl (odkazující na soubor s klíčem), aby se oddíly daly automaticky otvírat; v závislosti na distribuci může být nutné příslušné řádky přidat také do /etc/crypttab.initramfs;
• zajistí, aby byl soubor s klíčem dostupný v initramdisku, a to dvěma možnými (méně či více bezpečnými) způsoby:

  1. EFI oddíl, GRUB, kernel a initramdisk bude na flashdisku. Jedna z výhod je, že pak na interních discích nemusí být vůbec žádné oddíly; nejsou potřeba. Jediný oddíl (ve smyslu GPT) je EFI oddíl na bootovacím flashdisku. Tam je pak taky ten klíč k odemykání disků, buď v plaintextu (!) nebo … viz níže↓↓↓. (Během delší nepřítomnosti (a nepředpokládá-li se, že počítač sám dokáže přebootovat) stačí flashdisk odpojit a odnést — kromě cold boot útoků se k datům nedá dostat.)
  2. EFI oddíl a GRUB je jediný nešifrovaný oddíl, kernel i initramdisk jsou uvnitř šifrovaného oddílu (Btrfs v LUKS). Klíčová fakta k tématu: GRUB umí číst LUKS oddíly. GRUB umí číst Btrfs. To je ideální řešení, protože se nemusí myslet na odpojování a ukrývání bootovacího flashdisku. Pak je konfigurace taková, že (0) v EFI oddílu je jenom GRUB a nic jiného, žádný Linux, žádný initramdisk, a (2) neexistuje žádný /boot oddíl, /boot je prostě normální subvolume (nebo dokonce obyčejný adresář) na Btrfs. Boot probíhá tak, že

     1. GRUB se uživatele zeptá na heslo — jednou a naposledy.
     2. GRUB si otevře LUKS oddíl (vypočítá master key atd.).
     3. GRUB získá přístup k Btrfs v LUKS oddílu a načte z něj kernel a initramdisk.
     4. Initramdisk obsahuje (nešifrovaný) šifrovací klíč pro LUKS a /etc/crypttab s potřebnými řádkami.
     5. Kernel dostane načtený initramdisk a díky němu dovede (nezávisle na GRUBu) automaticky otevřít oba šifrované oddíly, dokonce paralelně. (V závislosti na distribuci se o to stará instance systemd v initramdisku, Dracut, Udev a/nebo něco jiného.)
     6. Kernel normálně dál bootuje a už se na LUKS hesla neptá.