[[Vorlage(Archiviert)]] 

{{{#!vorlage Wissen
[:chmod: Zugriffsrechte verändern]
[:LUKS:Verschlüsselte Partitionen mit LUKS]
[:Terminal: Ein Terminal öffnen]
[:UUID#UUIDs-anzeigen: UUID anzeigen]
[:Editor#Root-Rechte-Bearbeiten-von-Systemdateien: Einen Editor mit Root-Rechten öffnen]
[:Skripte/Gerät_mit_Pseudozufallszahlen_überschreiben:Gerät mit Pseudozufallszahlen überschreiben]
}}}

[[Vorlage(Fortgeschritten)]]

{{{#!vorlage Warnung
Von dieser Variante wird abgeraten, so lange man sich nicht 100% sicher ist was man tut! Ansonsten ist die gesamte Verschlüsselung wirkungslos!

Die beschriebenen [:LUKS#Beim-Start-ohne-Passwortabfrage: Alternativen] sind im Regelfall vorzuziehen.
}}}

{{{#!vorlage Hinweis
Alle folgenden Befehle benötigen [:sudo: Root-Rechte]. Man sollte also entweder immer '''sudo''' vor das betreffende Kommando setzen oder mit '''sudo -s''' Root-Status erlangen!
}}}

[[Inhaltsverzeichnis (2)]] 

Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten [:LUKS:LUKS-Datenträgern] mittels einer Schlüsseldatei ein. Mit dieser lassen sich beliebig viele LUKS-Datenträger ohne extra Passworteingabe öffnen, jedoch ist der Schlüssel im Klartext gespeichert.

= Vorbereitung =
Die Vorbereitung ist identisch mit der des [:LUKS#Vorbereitung:LUKS-Artikels]. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden.

== Schlüsseldatei erstellen ==
{{{#!vorlage Warnung
Die erstellte Schlüsseldatei enthält das Passwort im Klartext, sie darf sich folglich nur auf einem verschlüsselten Datenträger befinden und nur für root lesbar sein [1].
}}}
=== mit bekanntem Passwort ===
Der Inhalt der Schlüsseldatei wird exakt als Passwort übernommen, sie darf also auch keinen Absatz am Ende enthalten, da dies sonst als Zeichen angesehen würde. Der folgende Befehl [3] fragt nach dem Passwort und speichert es in der angegebenen `<Schlüsseldatei>`.
{{{#!vorlage Befehl
read -s -p "Password: " passw && echo -n $passw > <Schlüsseldatei> && passw=''
}}}

=== mit zufälligem Passwort ===
Der folgende Befehl erzeugt ein zufälliges Passwort mit 32 Stellen und speichert es in der angegebenen `<Schlüsseldatei>`.
{{{#!vorlage Befehl
tr -dc '0-9a-zA-Z' </dev/urandom | head -c 32 > <Schlüsseldatei>
}}}

= Einrichtung =

{{{#!vorlage Hinweis
Sollte die Schlüsseldatei beschädigt oder gelöscht werden, könnten die damit verschlüsselten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt [2] oder die Schlüsseldatei separat [:Daten verschlüsseln#gpg:verschlüsselt] gesichert werden.
}}}

== Bestehendes LUKS-Gerät ==

Soll ein bestehendes LUKS-Gerät mit einer neue Schlüsseldatei geöffnet werden können, ist wie folgt vorzugehen:

{{{#!vorlage Befehl
cryptsetup luksAddKey <Gerät> <Schlüsseldatei>
}}}

Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine Schlüsseldatei verwendet hat lautet der Befehl:

{{{#!vorlage Befehl
cryptsetup luksAddKey <Gerät> <neue_Schlüsseldatei> --key-file <alte_Schlüsseldatei>
}}}

== Neues LUKS-Gerät ==
{{{#!vorlage Hinweis
Es ist aus Sicherheitsgründen empfehlenswert die Partition ein mal mit Zufallszahlen zu überschreiben, vor allen Dingen, wenn auf dieser vorher unverschlüsselte Daten gespeichert waren. [6] Ansonsten sind unter Umständen viele Dateien nach dem Verschlüsseln noch auslesbar.
}}}

Soll ein neues LUKS-Gerät mit einer Schlüsseldatei erzeugt werden, wird folgender Befehl eingesetzt [3]:
{{{#!vorlage Warnung
Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren!
}}}
{{{#!vorlage Befehl
cryptsetup -c aes-xts-plain -s 512 luksFormat <Gerät> <Schlüsseldatei>
}}}

	

= Öffnen =

== Manuell ==
Mit diesem Befehl wird das LUKS-Gerät per Schlüsseldatei geöffnet [3]:
{{{#!vorlage Befehl
cryptsetup luksOpen <Gerät> <Name> --key-file <Schlüsseldatei>
}}}

== Beim Startvorgang ==
Zum Öffnen eines LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [4] an die Datei '''/etc/crypttab''' angehängt [5].
{{{
  <Name>         UUID=<UUID>          <Schlüsseldatei>           luks
}}}

Anschließend müssen noch mit folgendem Befehl die Startdateien aktualisiert werden:
{{{#!vorlage Befehl
update-initramfs -u -k all
}}}

= Entfernen =
Eine Schlüsseldatei kann wie folgt entfernt werden:
{{{#!vorlage Befehl
cryptsetup luksRemoveKey <Gerät> <Schlüsseldatei>
}}}

Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet lautet der Befehl:
{{{#!vorlage Befehl
cryptsetup luksRemoveKey <Gerät> <zu_entfernende_Schlüsseldatei> --key-file <andere_Schlüsseldatei>
}}}

== bis Hardy ==
Wird Hardy verwendet, muss man einen bestimmten Slot löschen:
{{{#!vorlage Befehl
cryptsetup luksDelKey <Gerät> <Speicherplatz> 
}}}

Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet hat lautet der Befehl:
{{{#!vorlage Befehl
cryptsetup luksDelKey <Gerät> <Speicherplatz> --key-file <andere_Schlüsseldatei>
}}}

== bei verlorener Schlüsseldatei ==
Ist die Schlüsseldatei verloren gegangen, muss man einen bestimmten Slot löschen:
{{{#!vorlage Befehl
cryptsetup luksKillSlot <Gerät> <Speicherplatz> 
}}}

Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet hat, lautet der Befehl:
{{{#!vorlage Befehl
cryptsetup luksKillSlot <Gerät> <Speicherplatz> --key-file <andere_Schlüsseldatei>
}}}


#tag: System, Sicherheit, Installation