tpmを使ってルートファイルシステムと外付けドライブのLUKSを自動アンロックする

Posted on Jun 22, 2023

前提条件

  • ルートファイルシステムがLUKSで暗号化されたUbuntu 22.04
  • tpm2.0搭載PC

やり方

tpmでルートファイルシステムを復号化し、ルートファイルシステムに格納した鍵で外付けドライブの復号化を行います。

Step1. ルートファイルシステムを自動復号化する

このサイトのやり方が一番わかりやすいかも

sudo apt install clevis-tpm2 clevis-luks clevis-initramfs -y
sudo clevis luks bind -d /dev/sda2 tpm2 '{"hash":"sha256","key":"rsa"}'
sudo update-initramfs -u

Step2. 外付けドライブをフォーマット、暗号化する

# ディスクにパーティションが存在しない場合はここで作る
sudo fdisk /dev/sdb

# 復号化鍵を作成(必ずバックアップするべきかも)
sudo dd bs=2048 count=4 if=/dev/urandom of=/root/sdb.key

# パーティションを暗号化
sudo cryptsetup luksFormat /dev/sdb1 /root/sdb.key
sudo cryptsetup open /dev/sdb1 cryptdata_sdb1  --key-file /root/sdb.key

# ファイルシステム作成
sudo mkfs -t ext4 /dev/mapper/cryptdata_sdb1

Step3. 外付けドライブの自動復号化を設定する

まず暗号化されたパーティションのUUIDを取得

# ディスクのUUID取得
sudo cryptsetup luksDump /dev/sdb1 | grep "UUID"

続いてそれぞれ次の設定ファイルに適切な設定を追記する

/etc/crypttab
cryptdata_sdb1 UUID=[取得したUUID] /root/sdb.key
/etc/fstab
/dev/mapper/cryptdata_sdb1 /var/nas/storage2 ext4 defaults 0 2

Step4. 再起動して確認

実際に再起動して復号化されるか確認する。LUKSのパスワードを聞かれるプロンプトが出るがしばらくすると進むはずなので気長に待つべし。

最後に(重要)

必ず暗号化に使ったキーファイル(ここでは/root/sdb.key)を安全な場所にバックアップしてください。
これがないと万一キーファイルが飛んだときに復号化できなくなります。

LEGAL NOTICE
当ウェブサイトの閲覧を続行することで、当ウェブサイトのプライバシーポリシーに同意したものと見做されます。当ウェブサイトのコンテンツに記載されている商標および名称は、各所有者の商標である可能性があります。

将来予想に関する記述: 当ウェブサイトには、将来予想に関する記述(場合によっては1933年米国証券法第27A条または1934年米国証券取引所法21E条(いずれもその後の改正を含む)に該当)が含まれるコンテンツがあり、重大なリスクおよび不確定要因を含んでいます。将来予想に関する記述は、「予定です」、「しそうです」、「なりそうです」、「場合があります」、「つもりです」、「するでしょう」、「はずです」、「見込まれます」、「可能性を探ります」、「する計画です」、「予想します」、「かもしれません」、「意図しています」、「目標とします」、「見積ります」、「検討します」、「考えます」、「推測します」、「予測します」、「潜在的」、「引き続き」、またはそれらの否定表現、あるいは予想、戦略、計画、または意図に関わるその他同様の用語および表現によって識別することができます。しかし、すべての将来予想に関する記述にこうした語句が含まれているわけではありません。さまざまな要因によって、上記の将来予想に関する記述で明示または黙示した結果と実際の結果との間に重大な相違が生じる可能性があります。当ウェブサイトのコンテンツに含まれる将来予想に関する記述は、あくまで記述当日現在の事象についてのみ言及しています。当ウェブサイトは、法律で義務付けられた場合を除き、コンテンツ投稿日の日付以降の事象や状況を反映するために、あるいは新しい情報や予期しない事象の発生を反映するために、将来予想に関する記述を更新する義務を負いません。将来予想に関する記述で開示した計画、意図、予想は実際に実行・達成されない場合があるため、このウェブサイトの将来予想に関する記述に過剰に依存すべきではありません。

当ウェブサイトの情報はなるべく正確であるように記述されていますが、当ウェブサイトの内容の正確性に関する保証は存在しません。当ウェブサイト上で紹介している内容はすべて自己責任で実行してください。当ウェブサイトで紹介している方法や内容を実践、参考にした結果として発生した所有物の物理的損傷、金銭損失、心身の故障、データ破損、訴訟、社会的地位の低下、アカウント凍結、精神的苦痛、法律違反、損害賠償請求、友人の喪失、恋人との破局、国際紛争、核戦争など、いかなる種類の損害(二次被害を含む)に対しても、当ウェブサイトの管理人及びコンテンツの執筆者は日本国内で有効な法律で義務付けられている範囲を除き一切の責任を負いかねます。

当ウェブサイトに掲載されている文面は、1.著作権法で認められている引用、及びフェアユースに該当する複製 2.改変を伴わない、もしくは文章の趣旨を変えない範囲での改変を伴う出典を明記した上での転載 3.大規模言語モデルなど生成AIのモデルのトレーニング に使用できます。ただし掲載されているスクリーンショットなどの画像の一部分若しくは全部の著作権は各著作権者に帰属します。これらを著作権法が認める範囲を除き、各著作権者の明示的な許可なしに無断で使用することはできません。