Портал документации Рутокен

Page tree

Versions Compared

Old Version 4

changes.mady.by.user Анфимов Павел

Saved on

compared with

New Version Current

changes.mady.by.user Кийко Алексей

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

В данной статье описано, как подготовить Рутокен ЭЦП для работы в качестве носителя ключей при шифровании разделов в Linux с помощью Luks.

Использование смарт-карт описано по ссылке ссылке: https://github.com/swoopla/smartcard-luks

Для Рутокен ЭЦП процесс подготовки выглядит следующим образом:

  1. Установка пакетов для работы со смарт-картами

    $ sudo apt-get install pcscd opensc cryptsetup

  2. Форматируем Рутокен ЭЦП 2.0

    $ pkcs15-init --erase-card -p rutoken_ecp

  3. Инициализируем Рутокен ЭЦП 2.0

    $ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk ""
    $ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize

  4. Создаем ключевую пару на Рутокен ЭЦП 2.0

    $ pkcs15-init -G rsa/2048 --auth-id 02 -u decrypt --id 01

  5. Создаем случайный файл и привязываем его в качестве ключевого к LUKSLuks

    $ sudo touch /rootboot/rootkey

    $ sudo chmod 600 /rootboot/rootkey

    $ sudo dd if=/dev/random of=/rootboot/rootkey bs=1 count=245 #change to urandom if you can't wait

    $ sudo cryptsetup luksAddKey /dev/sda2 /rootboot/rootkey

  6. Экспортируем открытый ключ из Рутокен ЭЦП 2.0

    $ pkcs15-tool --read-public-key 01 -o public_key_rsa2048.pem

  7. Шифруем ключевой файл с помощью открытого ключа

    $ sudo openssl rsautl -encrypt -pubin -inkey public_key_rsa2048.pem -in /boot/rootkey -out /boot/rootkey.enc
    Info
    iconfalse
    titleВ версии openssl 3.0 и выше, необходимо использовать команду:

    sudo openssl pkeyutl -encrypt -pubin -inkey public_key_rsa2048.pem -in /

    root

    boot/rootkey -out /

    root

    boot/rootkey.enc


  8. Проверяем, что файл успешно может расшифроваться на ключе с Рутокен ЭЦП 2.0

    $ sudo pkcs15-crypt --decipher --input /rootboot/rootkey.enc --pkcs1 --raw -k 01 --output /rootboot/rootkey.dec
  9. Сравниваем файлы /rootboot/rootkey и /rootboot/rootkey.dec. Если они идентичны, то удаляем их и оставляем только зашифрованный файл

    $ sudo rm /rootboot/rootkey
    $ sudo rm /rootboot/rootkey.dec

Далее продолжить настройку по инструкции:
1) Выполнить 1-пункт 8 пункты. Зашифрованный ключ может лежать или в /boot, или в initramfs или в любом другом месте. Его местонахождение нужно описать в crypttab.
2) Затем шаг 13 (без патча decrypt_opensc).  Убедиться, что в initramfs попал /root/luks-secret.key (посмотреть содержимое initramfs можно с помощью утилиты lsinitramfs)

...