[[Vorlage(Getestet, focal, bionic, jammy)]]

{{{#!vorlage Wissen
[:Terminal: Ein Terminal öffnen] 
}}}

In diesem Wikiartikel wird beschrieben, wie man bei der Verschlüsselungstechnik [:LUKS:] die Passwörter verwaltet. Außerdem wird auf die Header-Sicherung eingegangen. Voraussetzungen sind im Artikel LUKS aufgeführt. Im Folgenden bezeichnet GERÄTEDATEI die entsprechende verschlüsselte Partition, z.B. '''/dev/sdb1'''


= Passwörter verwalten =

LUKS bietet insgesamt acht Speicherplätze (genannt "Slot" 0-7) für änderbare Passwörter, die jeweils den Zugriff auf die Daten erlauben. Die belegten Speicherplätze und Headerinformationen lassen sich mittels dieses Befehl überprüfen: 

{{{#!vorlage Befehl
sudo cryptsetup luksDump GERÄTEDATEI
}}}

=== Passwort hinzufügen ===
Zuerst das alte Passwort eingeben, dann das neue.

{{{#!vorlage Befehl
sudo cryptsetup luksAddKey GERÄTEDATEI
}}}

=== Passwort löschen ===
Ein bekanntes Passwort kann mit folgendem Befehl entfernt werden:

{{{#!vorlage Befehl
sudo cryptsetup luksRemoveKey GERÄTEDATEI
}}}

Will man hingegen einen bestimmten Slot löschen, kann man dies mit folgendem Befehl tun:

{{{#!vorlage Befehl
sudo cryptsetup luksKillSlot GERÄTEDATEI SLOT
}}}

Für `SLOT` muss die Nummer des Keyslots eingegeben werden. Diesen findet man am einfachsten heraus, wenn mit `cryptsetup luksOpen -v` einen Container oder eine Partition einhängt. Dort ist dann auch der Slot angegeben, der, basierend auf dem Schlüssel, benutzt wurde.

=== Passwort ändern ===
Das Ändern eines Passworts erfolgt durch den Befehl

{{{#!vorlage Befehl
sudo cryptsetup luksChangeKey GERÄTEDATEI
}}}

Alternativ kann auch zuerst das neue Passwort hinzugefügt und anschließend das alte entfernt werden.

= Header sichern =

Um Informationen über die Partitionierung innerhalb des Containers und der Keyslots zu sichern, empfiehlt es sich, ein Backup vom LUKS-Header (außerhalb des verschlüsselten Containers) anzulegen. Wird dieses Backup entwendet, ist ein Zugriff auf den verschlüsselten Container trotzdem nur mit Schlüsselinformationen möglich.

{{{#!vorlage Warnung
Ein gesicherter Header hängt von den Passwörtern ab, die gerade zu dem Zeitpunkt der Sicherung aktiv sind. Das erfordert einerseits, dass man zur Nutzung der Sicherung diese noch kennen muss. Andererseits bedeutet es auch, dass bekannt gewordene Passwörter, selbst wenn sie am Gerät geändert wurden, mit der Sicherung noch für den Zugriff auf das Gerät verwendet werden können.

Entsprechend ist es empfehlenswert, die Sicherung des Headers unter Verschluss zu halten und nach jeder Änderung am Gerät unmittelbar zu aktualisieren.
}}}

{{{#!vorlage Befehl
sudo cryptsetup luksHeaderBackup GERÄTEDATEI --header-backup-file BACKUP-DATEI
}}}

Zur Wiederherstellung wird folgender Befehl verwendet:

{{{#!vorlage Befehl
sudo cryptsetup luksHeaderRestore GERÄTEDATEI --header-backup-file BACKUP-DATEI
}}}

#tag: Verschlüsselung