Hallo Leute,
ich hab hier ein Notebook bei dem die Homepartition mit LUKS verschlüsselt ist. Beim Booten muss man ein extra Passwort eingeben danach fährt der Rechern fertig zum Anmeldebildschirm hoch.
Nun hab ich hier einen Yubikey der laut Config die Anmeldung auch für Luks unterstützt.
ykman --diagnose 2>&1 | grep hmac-secret Ctap2Info: {<VERSIONS: 0x01>: ['U2F_V2', 'FIDO_2_0', 'FIDO_2_1_PRE'], <EXTENSIONS: 0x02>: ['credProtect', 'hmac-secret']
Meine erste Idee war das ganze mit Systemd zu lösen. Hierfür bin ich dieser Anleitung gefolgt. Bei
systemd-cryptenroll /dev/nvme0n1p4 --fido2-device=auto --fido2-with-client-pin=yes
kam dann immer die Fehlermeldung "Failed to load LUKS2 superblock: Invalid argument" Da bin ich dann definitiv nicht weiter gekommen.
Unlocking LUKS encrypted drives with a YubiKey has been supported since systemd 248. In Debian, systemd>=250 is required, as the feature has not been enabled in prior versions.
Das gilt in dem Fall wohl auch für Ubuntu. Nun zum Glück gibt es noch eine andere Möglichkeit, die laut Internetrecherche gut zu funktionieren scheint. https://www.endpointdev.com/blog/2022/03/disk-decryption-yubikey/ https://deisi.github.io/posts/luks_mi_yubikey/
Die ganze Config ist hier auch sauber durch. Keine Fehler. Ich hab dann sogar noch zum Test die Optionen direkt in die Grub CMD geschrieben:
cryptoptions=target=crypthome,source=/dev/nvme0n1p4,keyscript=/usr/share/yubikey-luks/ykluks-keyscript"
Man sieht auch das der Slot im Yubikey sauber belegt ist. Auch die "/etc/ykluks.cfg" wurde beschrieben:
# If you change this file, you need to run # update-initramfs -u WELCOME_TEXT="Please insert yubikey and press enter or enter a valid passphrase" # Set to "1" if you want both your password and Yubikey response be bundled together and writtent to key slot. CONCATENATE=0 # Set to "1" if you want to hash your password with sha256. HASH=0 YUBIKEY_CHALLENGE="supergeheim" YUBIKEY_LUKS_SLOT=2
Im Log sieht man dann folgende Fehlermeldung:
Encountered unknown /etc/crypttab option 'keyscript=/usr/share/yubikey-luks/ykluks-keyscript', ignoring
Nach meiner Recherche scheint das nicht implementiert zu sein. Zumindest im Zusammenhang mit Systemd stößt man dabei auf einige Bugberichte. Weis da vielleicht schon jemand eine Lösung? Nen Workaround oder überhaupt ne andere Lösung für den Yubikey?
Lieben Dank lg Dark Wolf