Schlüsselableitung
Fehlende Vorlage
Das gewünschte Template „Wiki/Vorlagen/InArbeit“ existiert nicht.
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
Hinweis:
Alle folgenden Befehle benötigen Root-Rechte. Man sollte also entweder immer sudo vor das betreffende Kommando setzen oder mit sudo -s Root-Status erlangen!
Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten LUKS-Datenträgern mittels des Decrypted-Derived-Script ein. Es handelt sich um ein Script welches den Schlüssel aus einem bereits entschlüsselten LUKS-Gerät generiert und es somit ermöglicht mit einem Passwort mehrere verschlüsselte Datenträger zu öffnen. Der Vorteil ist, das kein Passwort im Klartext auf der Festplatte gespeichert werden muss.
Vorbereitung¶
Die Vorbereitung ist identisch mit der des LUKS-Artikels. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden.
Hinweis:
Mit <Name des Ursprungsgeräts> ist der Mapper-Name gemeint. Also der, der unter /dev/mapper/ angezeigt wird, z.B. root. Das Ursprungsgerät muss folglich vorher geöffnet werden.
Schlüssel hinzufügen¶
Soll ein bestehendes LUKS-Gerät mit einem abgeleiteten Schlüssel geöffnet werden können, ist wie folgt vorzugehen:
Achtung!
Da hier der interne Schlüssel des Ursprungsgeräts bzw. Passwort der anderen Datenträger in die Zwischenablage kopiert wird, ist dieser Schritt am besten von einer Live-CD auszuführen, da es zahlreiche Programme gibt, die die Zwischenablage und damit das Passwort im Klartext auf der Festplatte speichern. Dies ist natürlich nicht nötig, wenn das gesamte System verschlüsselt ist. Trotzdem sollte danach der Cache der entsprechenden Programme geleert werden.
Da zum hinzufügen eines Schlüssels ein bereits vorhandener eingegeben werden muss, kann das Passwort nicht übergeben werden, es muss also manuell kopiert werden. Der folgenden Befehl [2] gibt den abgeleiteten Schlüssel aus:
/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts>
Diesen ohne Leerzeichen und dergleichen markieren und kopieren.
Nach Eingabe des Befehls
cryptsetup luksAddKey <Gerät>
das ursprüngliche Passwort eingeben und anschließend zweimal bei der Passwortabfrage das kopierte Passwort einfügen.
Neu Erstellen¶
Soll ein neues LUKS-Gerät mit einem abgeleiteten Schlüssel erzeugt werden, wird folgender Befehl eingesetzt [2]:
Achtung!
Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren!
/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts> | cryptsetup -c aes-xts-plain -s 512 luksFormat <Gerät> --key-file -
Hinweis:
Sollte das Ursprungs-LUKS-Gerät beschädigt oder gelöscht werden, könnten die davon abgeleiteten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt werden. [1]
Öffnen¶
Zum Öffnen der abgeleiteten LUKS-Geräte muss vorher das Ursprungsgerät freigeschaltet werden [1].
Manuell¶
Mit diesem Befehl wird das abgeleitete LUKS-Gerät geöffnet [2]:
/lib/cryptsetup/scripts/decrypt_derived <Name Des Ursprungsgeräts> | cryptsetup luksOpen <Gerät> <Name> --key-file -
Beim Startvorgang¶
Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [3] an die Datei /etc/crypttab angehängt [4].
<Name> UUID=<UUID> <Name des Ursprungsgeräts> luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
Anschließend müssen noch mit folgendem Befehl die Startdateien aktualisiert werden:
update-initramfs -u -k all