我是一名开发人员。我正在运行 Debian,并且我的项目有 LUKS 存储。它使用 512 位 AES 密钥加密。我使用密码来解密这个存储。但是,密码很强大,我每 N 个月更改一次。我想要做的是为我的存储创建另一个密钥(LUKS 允许它)并将其存储在我的 USB 驱动器盒中的某个位置(其中大约有一百个不问我为什么)作为备份计划,如果我忘记密码或会需要让某人在不告诉实际密码的情况下打开存储。
我的第一个最简单的解决方案是创建这样的东西:第一个分区是 vfat 使用 99% 的空间。最后一个 1% 大小的分区将只保存密钥文件。我什至可以编写一个类似“插入恢复密钥”的脚本来查找 FS ID。这对 Windows 用户来说并不可疑,但我认为我可以做得更好。所以现在的问题是:如何更好地执行它(更好的安全性)?我最好的想法是在分区之间或在一个大分区之后写入 512 位密钥,而不为密钥创建另一个分区,但问题是我不确定这些数据是否可以被覆盖(FS 没有使用它所以它可以用于其他用途?)。而且我真的不知道以后如何访问它(我猜'dd'可以从确切的块中读取确切的长度)。