Passwort und Headerverwaltung
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Ubuntu 22.04 Jammy Jellyfish
Ubuntu 20.04 Focal Fossa
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
In diesem Wikiartikel wird beschrieben, wie man bei der Verschlüsselungstechnik LUKS die Passwörter verwaltet. Außerdem wird auf die Header-Sicherung eingegangen. Voraussetzungen sind im Artikel LUKS aufgeführt. Im Folgenden bezeichnet GERÄTEDATEI die entsprechende verschlüsselte Partition, z.B. /dev/sdb1
Passwörter verwalten¶
LUKS bietet insgesamt acht Speicherplätze (genannt "Slot" 0-7) für änderbare Passwörter, die jeweils den Zugriff auf die Daten erlauben. Die belegten Speicherplätze und Headerinformationen lassen sich mittels dieses Befehl überprüfen:
sudo cryptsetup luksDump GERÄTEDATEI
Passwort hinzufügen¶
Zuerst das alte Passwort eingeben, dann das neue.
sudo cryptsetup luksAddKey GERÄTEDATEI
Passwort löschen¶
Ein bekanntes Passwort kann mit folgendem Befehl entfernt werden:
sudo cryptsetup luksRemoveKey GERÄTEDATEI
Will man hingegen einen bestimmten Slot löschen, kann man dies mit folgendem Befehl tun:
sudo cryptsetup luksKillSlot GERÄTEDATEI SLOT
Für SLOT
muss die Nummer des Keyslots eingegeben werden. Diesen findet man am einfachsten heraus, wenn mit cryptsetup luksOpen -v
einen Container oder eine Partition einhängt. Dort ist dann auch der Slot angegeben, der, basierend auf dem Schlüssel, benutzt wurde.
Passwort ändern¶
Das Ändern eines Passworts erfolgt durch den Befehl
sudo cryptsetup luksChangeKey GERÄTEDATEI
Alternativ kann auch zuerst das neue Passwort hinzugefügt und anschließend das alte entfernt werden.
Header sichern¶
Um Informationen über die Partitionierung innerhalb des Containers und der Keyslots zu sichern, empfiehlt es sich, ein Backup vom LUKS-Header (außerhalb des verschlüsselten Containers) anzulegen. Wird dieses Backup entwendet, ist ein Zugriff auf den verschlüsselten Container trotzdem nur mit Schlüsselinformationen möglich.
Achtung!
Ein gesicherter Header hängt von den Passwörtern ab, die gerade zu dem Zeitpunkt der Sicherung aktiv sind. Das erfordert einerseits, dass man zur Nutzung der Sicherung diese noch kennen muss. Andererseits bedeutet es auch, dass bekannt gewordene Passwörter, selbst wenn sie am Gerät geändert wurden, mit der Sicherung noch für den Zugriff auf das Gerät verwendet werden können.
Entsprechend ist es empfehlenswert, die Sicherung des Headers unter Verschluss zu halten und nach jeder Änderung am Gerät unmittelbar zu aktualisieren.
sudo cryptsetup luksHeaderBackup GERÄTEDATEI --header-backup-file BACKUP-DATEI
Zur Wiederherstellung wird folgender Befehl verwendet:
sudo cryptsetup luksHeaderRestore GERÄTEDATEI --header-backup-file BACKUP-DATEI