Linuxでのパスワードなし認証を使用したフルディスク暗号化

Debian 5.0.5にはかなり標準的なディスク暗号化セットアップがあります。暗号/boot化されsdaX_cryptていないパーティションと、他のすべてのパーティションを含む暗号化されたパーティションです。

さて、これはヘッドレスサーバーインストールであり、キーボードなしで起動できるようにしたいです（現時点では、キーボードとモニターを接続した状態でのみ起動できます）。

これまでのところ、/bootパーティションをUSBドライブに移動し、キーを自動入力するためにわずかな変更を加えることを考えています（askpassブートスクリプトのどこかに呼び出しがあると思います）。これにより、ヘッドレスで起動できます。起動時にフラッシュドライブが必要になります。

私が見るように、それに関する問題はそれです

1. 私はそれを機能させるためにすべての断片を理解することに時間を費やす必要があります。
2. 再生成する更新プログラムがある場合initrd、USB上のブートパーティションを再生成する必要がありますが、これは面倒です。

質問：私がやりたいことのために利用可能な標準的な低維持ソリューションはありますか？それとも、他の場所をすべて見る必要がありますか？

パスワードの代わりにキーを要求するようにシステムをセットアップし、USBスティックでこのキーを検索するためにいくつかのスクリプトを変更できます。Debian Lennyでこのプロセスの詳細な説明を見つけました。最後に、Debianの新しいバージョンに必要な変更を説明するいくつかのメモがあります。

しかし、キーをプレーンテキストのままにしておくだけの場合、ディスク全体を暗号化する意味は何ですか？

それが機能するには、MicrosoftとBig Mediaが悪意のあるユーザー抑制の目的でそれをハイジャックする前に、Trusted Computing Platformが想定されていたようなものが必要になります。

アイデアは、マザーボードにキーを保持するチップを持ち、実行中のソフトウェアが信頼できる機関（あなた）によって適切に署名されていることが確認された場合にのみキーを提供することです。このようにすると、キーを簡単に見ることができず、サーバーをインタラクティブに起動する必要がありません。

それは私がコンピューティングのいずれかに置く信頼見たことがない残念だ良いの使用実際に可能性があり、エンドユーザーに便利。

マンドス（私と他の人が書いた）は、このまさに問題を解決します：

Mandosは、暗号化されたルートファイルシステムを持つサーバーが無人またはリモートで再起動できるようにするシステムです。FAQリストを含む詳細については、イントロマニュアルページを参照してください。

つまり、起動サーバーはネットワーク経由で安全な方法でパスワードを取得します。詳細については、READMEを参照してください。