Um token de segurança FIDO2 deve ser usado para descriptografar todos os discos em uma máquina Linux na inicialização. systemd permite isso desde a versão 248.
O token de segurança FIDO2 pode ser removido após a inicialização ao usar LUKS para criptografia completa do disco ou ele precisa permanecer conectado para que o disco possa ser usado para operações de leitura/gravação?
Acessar um token FIDO2 externo em cada operação de disco tornaria um dispositivo de disco criptografado muito lento, a ponto de ser praticamente inutilizável.
Com o LUKS, qualquer senha, token FIDO2 ou outro meio de desbloquear a criptografia é usado para descriptografar uma chave mestra criptografada de um dos slots de chave no cabeçalho LUKS. Essa chave mestra é então usada com uma cifra simétrica adequada para uso orientado a blocos; esta cifra é então usada para criptografar/descriptografar quaisquer blocos fora do cabeçalho LUKS no dispositivo criptografado.
Depois que o dispositivo for desbloqueado, a chave mestra descriptografada deverá ser mantida na RAM para acessar o dispositivo criptografado. Como resultado, desconectar o token de segurança não removerá o acesso do kernel à chave mestra do dispositivo LUKS. Portanto, a resposta é sim, o token pode ser removido.
Claro, seria possível implementar um programa de vigilância que executaria as etapas necessárias para interromper o acesso ao dispositivo criptografado e destruir a chave na memória na remoção do token. Mas isso seria separado de
systemd-cryptsetup
. Tal programa de vigilância teria que estar preparado parakill -9
quaisquer processos que pudessem impedir o fechamento do dispositivo criptografado, se necessário: caso contrário, não será capaz de garantir o fechamento rápido do dispositivo.