https://ivonblog.com/ja-jp/tags/luks/Recent content in LUKS on Ivon's BlogHugo -- gohugo.ioja-jpinfoivonblog.nkfjt@aleeas.com (Ivon Huang)infoivonblog.nkfjt@aleeas.com (Ivon Huang)Ivon's Blog（ivonblog.com）の記事はご自由に共有いただけます。引用の際は、記事のURLを明記してください。特に明記されていない限り、すべての記事CC BY-SA 4.0 表示-継承 4.0 国際 ライセンスの下で提供されています。商用利用をご希望の場合は、お問い合わせください。Wed, 17 Aug 2022 01:52:46 +0800560059026583511041132431067563556864https://ivonblog.com/ja-jp/posts/pinephone-luks-disk-encryption/Wed, 17 Aug 2022 01:52:46 +0800infoivonblog.nkfjt@aleeas.com (Ivon Huang)https://ivonblog.com/ja-jp/posts/pinephone-luks-disk-encryption/<!-- Co-translated by ChatGPT --> <p>PinePhone向けLinuxディストリビューションの中には、インストーラーでディスク暗号化(Full Disk Encrpytion)機能を提供しているものがあります。これによりスマートフォン内のデータを他人に読み取られにくくできますが、同時にシステムの複雑さも増えます。</p><!-- Co-translated by ChatGPT --> <p>PinePhone向けLinuxディストリビューションの中には、インストーラーでディスク暗号化(Full Disk Encrpytion)機能を提供しているものがあります。これによりスマートフォン内のデータを他人に読み取られにくくできますが、同時にシステムの複雑さも増えます。</p> <p>採用される技術は&quot;LUKS&quot;暗号化です。現在この機能があり、設定もしやすい<a href="https://ivonblog.com/ja-jp/posts/linux-mobile-distros/" target="_blank" rel="noreferrer">スマートフォン向けLinuxディストリビューション</a>はpostmarketOSとMobianです。Arch Linux ARMおよびManjaro ARMもインストール用の<a href="https://github.com/dreemurrs-embedded/archarm-mobile-fde-installer" target="_blank" rel="noreferrer">スクリプト</a>を提供しています。</p> <p>(画像は<a href="https://gitlab.com/cryptsetup/cryptsetup" target="_blank" rel="noreferrer">Gitlab</a>および<a href="https://www.pine64.org/pinephone/" target="_blank" rel="noreferrer">PinePhone</a>公式サイトより)</p> <p><figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://i.imgur.com/hXg549X.jpg" onerror="this.onerror=null;this.src='https://ivonblog.com/images/unable-to-load-the-image-pepe.webp'" ></figure> </p> <h2 class="relative group">1. 背景 <div id="1-背景" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#1-%e8%83%8c%e6%99%af" aria-label="アンカー">#</a> </span> </h2> <p>PinePhoneはデフォルトでSDカードから起動します。<a href="https://github.com/dreemurrs-embedded/Jumpdrive" target="_blank" rel="noreferrer">Jumpdrive</a>入りのSDカードを挿して起動すると、スマートフォン内部のパーティションデータは丸見えになります。Jumpdriveの本来の目的はシステムのインストールを簡単にすることですし、多くのディストリビューションもパーティションを暗号化しません。しかしそれでは、スマートフォン内データの安全性は確保できません。</p> <p>そのため、スマートフォンをPCに接続して読める状態になっても、データ自体は暗号化されたままにする必要があります。そこまでやって初めて保護の意味があります。</p> <h2 class="relative group">2. LUKS暗号化の概要 <div id="2-luks暗号化の概要" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#2-luks%e6%9a%97%e5%8f%b7%e5%8c%96%e3%81%ae%e6%a6%82%e8%a6%81" aria-label="アンカー">#</a> </span> </h2> <p>Red Hat社の<a href="https://access.redhat.com/documentation/zh-tw/red_hat_enterprise_linux/6/html/installation_guide/apcs02" target="_blank" rel="noreferrer">説明</a>によると：</p> <blockquote><p>Linux Unified Key Setup（LUKS）はブロックデバイス暗号化の仕様です。データ用のon-disk形式と、パスワード/鍵管理ポリシーを定義します。LUKSはdm-cryptモジュールを通じてkernelのデバイスマッパーサブシステムを使用します。これにより、デバイスデータの暗号化と復号を処理できる低レベルのマッピングが提供されます。ユーザー層の操作、たとえば暗号化済みデバイスの作成やアクセスは、cryptsetupというツールを使って行います。</p> </blockquote><p>ユーザーは現在のディスクを暗号化できます。ディスクへアクセスするときはパスワードを入力しないと、ディスク内のデータを平文として読み取れません。別のPCに差し替えても復号は可能です。</p> <h2 class="relative group">3. postmarketOSでディスク暗号化を有効にする <div id="3-postmarketosでディスク暗号化を有効にする" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#3-postmarketos%e3%81%a7%e3%83%87%e3%82%a3%e3%82%b9%e3%82%af%e6%9a%97%e5%8f%b7%e5%8c%96%e3%82%92%e6%9c%89%e5%8a%b9%e3%81%ab%e3%81%99%e3%82%8b" aria-label="アンカー">#</a> </span> </h2> <p>postmarketOSのインストール方法は、pmbootstrapを使う方法と、公式ビルドのイメージファイルを使う方法の2種類があります。主に暗号化されるのは<code>pmOS_root</code>パーティションです。ディスク暗号化後は、起動時に別途復号用パスワードの入力が必要になります。</p> <ul> <li>PinePhone以外のAndroidスマートフォンでは、ディスク暗号化に必ず対応しているとは限りません。<a href="https://wiki.postmarketos.org/wiki/All_devices" target="_blank" rel="noreferrer">Devices</a>表で確認してください。</li> </ul> <h3 class="relative group">3.1. 1つ目の方法: pmbootstrapでシステムファイルを作成する <div id="31-1つ目の方法-pmbootstrapでシステムファイルを作成する" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#31-1%e3%81%a4%e7%9b%ae%e3%81%ae%e6%96%b9%e6%b3%95-pmbootstrap%e3%81%a7%e3%82%b7%e3%82%b9%e3%83%86%e3%83%a0%e3%83%95%e3%82%a1%e3%82%a4%e3%83%ab%e3%82%92%e4%bd%9c%e6%88%90%e3%81%99%e3%82%8b" aria-label="アンカー">#</a> </span> </h3> <ul> <li>先にこちらを参照してください：<a href="https://ivonblog.com/ja-jp/posts/postmarketos-general-installation/" target="_blank" rel="noreferrer">postmarketOS Install</a></li> </ul> <p>書き込み時のコマンドに<code>--fde</code>オプションを追加します。これでスマートフォンへ書き込むときにディスク暗号化が行われます:</p> <div class="highlight-wrapper"><div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">pmbootstrap install --sdcard<span class="o">=</span>/dev/sdb --fde</span></span></code></pre></div></div> <h3 class="relative group">3.2. 2つ目の方法: 公式のビルド済みインストーラー (Installer) を書き込む <div id="32-2つ目の方法-公式のビルド済みインストーラー-installer-を書き込む" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#32-2%e3%81%a4%e7%9b%ae%e3%81%ae%e6%96%b9%e6%b3%95-%e5%85%ac%e5%bc%8f%e3%81%ae%e3%83%93%e3%83%ab%e3%83%89%e6%b8%88%e3%81%bf%e3%82%a4%e3%83%b3%e3%82%b9%e3%83%88%e3%83%bc%e3%83%a9%e3%83%bc-installer-%e3%82%92%e6%9b%b8%e3%81%8d%e8%be%bc%e3%82%80" aria-label="アンカー">#</a> </span> </h3> <ul> <li>先にこちらを参照してください： <a href="https://ivonblog.com/ja-jp/posts/pinephone-os-installation/" target="_blank" rel="noreferrer">PinePhone OS Install</a></li> </ul> <ol> <li>イメージファイルを<a href="https://postmarketos.org/download/" target="_blank" rel="noreferrer">ダウンロード</a>し、インストーラーのイメージファイルを選びます</li> </ol> <p><figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://i.postimg.cc/gJwtfW7C/Screenshot-2022-04-18-at-23-17-27-v21-12-pine64-pinephone-phosh-20220413-0535-postmarket-OS-Offi.jpg" onerror="this.onerror=null;this.src='https://ivonblog.com/images/unable-to-load-the-image-pepe.webp'" ></figure> </p> <ol start="2"> <li> <p>書き込み後に起動し、`Enable Full disk encrpytion``を選択して、任意の8桁パスワードを入力し、システムをインストールします。 <img src="https://i.postimg.cc/x8T1WZdH/DSC-0001.jpg" width=200></p> </li> <li> <p>これでシステムに入る前に、ディスクのパスワードを一度入力する必要があります。 <img src="https://i.postimg.cc/mZ8DQTdS/DSC-0003.jpg" width=200></p> </li> </ol> <h2 class="relative group">4. Mobianでディスク暗号化を有効にする <div id="4-mobianでディスク暗号化を有効にする" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#4-mobian%e3%81%a7%e3%83%87%e3%82%a3%e3%82%b9%e3%82%af%e6%9a%97%e5%8f%b7%e5%8c%96%e3%82%92%e6%9c%89%e5%8a%b9%e3%81%ab%e3%81%99%e3%82%8b" aria-label="アンカー">#</a> </span> </h2> <p>Mobianのインストーラーは現在、ディスク暗号化オプションを提供しています。</p> <ul> <li>先にこちらを参照してください： <a href="https://ivonblog.com/ja-jp/posts/pinephone-os-installation/" target="_blank" rel="noreferrer">PinePhone OS Install</a></li> </ul> <ol> <li>システムイメージファイルを<a href="https://wiki.mobian.org/doku.php?id=install-linux" target="_blank" rel="noreferrer">ダウンロード</a>し、インストーラー (Installer) を選びます</li> </ol> <p><figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://i.postimg.cc/X7Tjhjzb/Screenshot-2022-04-18-at-23-22-50-install-linux-Mobian-Wiki.png" onerror="this.onerror=null;this.src='https://ivonblog.com/images/unable-to-load-the-image-pepe.webp'" ></figure> </p> <ol start="2"> <li> <p>書き込み後に起動し、<code>Enable Full disk encrpytion</code>をクリックして、8桁のパスワードを1つ設定します。 <img src="https://i.postimg.cc/Wpq7fpKs/DSC-0004.jpg" width=200></p> </li> <li> <p>以後は起動後、まずディスク復号用パスワードを入力する必要があります。 <img src="https://i.postimg.cc/wTJ03xcw/DSC-0005-2.jpg" width=200></p> </li> </ol> <h2 class="relative group">5. LUKSディスク暗号化を解除する方法 <div id="5-luksディスク暗号化を解除する方法" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#5-luks%e3%83%87%e3%82%a3%e3%82%b9%e3%82%af%e6%9a%97%e5%8f%b7%e5%8c%96%e3%82%92%e8%a7%a3%e9%99%a4%e3%81%99%e3%82%8b%e6%96%b9%e6%b3%95" aria-label="アンカー">#</a> </span> </h2> <p>パーティションの暗号化を解除するには、ディスクをフォーマットする必要があります。</p> <p>Tow-Bootは現時点では暗号化パーティションに対応していないため、PCから読むにはJumpdriveで起動する必要があります。PC側のシステムがUbuntuであれば、スマートフォンをPCに接続した後にパーティションのパスワードを聞いてくるはずです。その後、復号してマウントすれば、中のデータを閲覧できます。 <figure> <img class="my-0 rounded-md" loading="lazy" decoding="async" fetchpriority="low" alt="" src="https://i.imgur.com/3Q7xY2h.png" onerror="this.onerror=null;this.src='https://ivonblog.com/images/unable-to-load-the-image-pepe.webp'" ></figure> </p> <p>暗号化されたパーティション(crypt)は<code>lsblk</code>コマンドで確認できます:</p> <div class="highlight-wrapper"><div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">sdc 8:32 <span class="m">1</span> 28.9G <span class="m">0</span> disk </span></span><span class="line"><span class="cl">├─sdc1 8:33 <span class="m">1</span> 243M <span class="m">0</span> part /media/ivon/pmOS_boot </span></span><span class="line"><span class="cl">└─sdc2 8:34 <span class="m">1</span> 28.7G <span class="m">0</span> part </span></span><span class="line"><span class="cl"> └─luks-55a4bb3f-165b-44ce-a771-fdc914c32b6e </span></span><span class="line"><span class="cl"> 253:0 <span class="m">0</span> 28.7G <span class="m">0</span> crypt</span></span></code></pre></div></div> <ol> <li> <p>重要なデータをバックアップした後、Gpartedを開きます。</p> </li> <li> <p>PinePhoneのスマートフォン側パーティションを右クリックしてアンマウントし、すべてのパーティションを削除してからext4としてフォーマットします。暗号化されたパーティションは、アンマウント後に「暗号化を解除」をクリックできます。</p> </li> </ol> <p>詳細はこちらを参照してください： <a href="https://ivonblog.com/posts/linux-format-sdcard/" target="_blank" rel="noreferrer">Linux Format SD Card</a></p> <h2 class="relative group">6. 参考資料 <div id="6-参考資料" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#6-%e5%8f%82%e8%80%83%e8%b3%87%e6%96%99" aria-label="アンカー">#</a> </span> </h2> <ul> <li><a href="https://wiki.postmarketos.org/index.php?title=Full_disk_encryption&amp;mobileaction=toggle_view_desktop" target="_blank" rel="noreferrer">Full disk encryption - PostmarketOS wiki</a></li> <li><a href="https://en.wikipedia.org/wiki/Linux_Unified_Key_Setup" target="_blank" rel="noreferrer">LUKS - Wikipedia</a></li> </ul>