ubuntuusers.de

via DuckDuckGo
Du betrachtest eine alte Revision dieser Wikiseite.

Schlüsselableitung

Fehlende Vorlage

Das gewünschte Template „Wiki/Vorlagen/InArbeit“ existiert nicht.

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. ⚓︎ Verschlüsselte Partitionen mit LUKS

  2. ⚓︎ Ein Terminal öffnen

  3. ⚓︎ UUID anzeigen

  4. ⚓︎ Einen Editor mit Root-Rechten öffnen

Hinweis:

Alle folgenden Befehle benötigen Root-Rechte. Man sollte also entweder immer sudo vor das betreffende Kommando setzen oder mit sudo -s Root-Status erlangen!

Inhaltsverzeichnis
  1. Vorbereitung
    1. Schlüssel hinzufügen
    2. Neu Erstellen
  2. Öffnen
    1. Manuell
    2. Beim Startvorgang

Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten LUKS-Datenträgern mittels des Decrypted-Derived-Script ein. Es handelt sich um ein Script welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät generiert und es somit ermöglicht mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, das kein Passwort im Klartext auf der Festplatte gespeichert werden muss.

Vorbereitung

Die Vorbereitung ist identisch mit der des LUKS-Artikels. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden.

Das LUKS-Gerät mittels dem der Schlüssel generiert werden soll muss im Folgenden bereits geöffnet sein.

Achtung!

Sollte das Ursprungs-LUKS-Gerät beschädigt oder gelöscht werden, könnten die davon abgeleiteten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt werden! [1]

Hinweis:

Mit <Name des Ursprungsgeräts> ist der Mapper-Name gemeint. Also der, der unter /dev/mapper/ angezeigt wird, z.B. root.

Schlüssel hinzufügen

Soll ein bestehendes LUKS-Gerät mit einem abgeleiteten Schlüssel geöffnet werden können, wird folgender Befehl eingesetzt [2]: 

/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts> | cryptsetup luksAddKey <Gerät>  --key-file -

Neu Erstellen

Soll ein neues LUKS-Gerät mit einem abgeleiteten Schlüssel erzeugt werden, wird folgender Befehl eingesetzt [2]:

Achtung!

Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren! 

/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts> | cryptsetup -c aes-xts-plain -s 512 luksFormat <Gerät> --key-file -

Öffnen

Hinweis:

Das Öffnen ist nur möglich, wenn das Ursprungsgerät vorher bereits freigeschaltet wurde [1].

Manuell

Mit diesem Befehl wird das abgeleitete LUKS-Gerät geöffnet [2]: 

/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts> | cryptsetup luksOpen <Gerät> <Name> --key-file -

Beim Startvorgang

Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [3] an die Datei /etc/crypttab angehängt [4]. 

  <Name>         UUID=<UUID>          <Name des Ursprungsgeräts>           luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

Diese Revision wurde am 12. Mai 2009 13:13 von unggnu erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Installation, System, Sicherheit, ungetestet