Как автоматически расшифровывать root раздел через usb ключ?

Question

[kinashago]

Установил debian с зашифрованным root разделом с вводом ключа расшифровки при запуске. Cгенерировал новый ключ dd if=/dev/urandom of=/mnt/key.lek bs=4096 count=1 добавил его в слот.
Как мне автоматически расшифровывать root раздел при старте ОС с вставленной флешкой с ключом?
Какие еще есть подобные механизмы для автоматической расшифровки с использованием, например, флешки c паролем?

Answer 1

[Uno]

если не некий предподготовленный производителем криптофлешки образ, то, очень грубо говоря:
- написать клиент для сканирования флешек и пароля на них и функцией расшифровки, типа "luks decrypt password XXXX" (не помню верные аргументы, псевдокоманда)
- модифицировать initramfs чтоб клиент запускался перед LUKS или что там у тебя (и никто не гарантирует что это что нибудь в процессе инициализации не нарушит, надо копаться и изучать)
- клиент постоянно сканирует флешки, пробует все найденные пароли, при успехе диск расшифровывается

на самом деле - смысла так извращаться нет, если твоя флешка, как минимум - не неклонируема. Тхт с паролем это бред, автоматизируешь так непойми что. Только какие-нибудь чипы с неизменяемым физически UID, ну ты понял.