ubuntuusers.de

Hallo Users,

wie erstelle ich mir Nachschlüssel für LUKS?

https://wiki.ubuntuusers.de/LUKS/

Greetz

undine

Was meinst du mit Nachschlüssel?

Suchst du luksAddKey? LUKS/Passwort und Headerverwaltung

Auszug von c't 21/2021 ab Seite 158

Schlüsseltresor Beim Linux Unified Key Setup (LUKS) erhalten bis zu acht Personen einen eigenen Nachschlüssel, also eine Schlüsselkopie. Diese werden im LUKS- Header der Partition abgelegt und mit einem individuellen Passwort gesichert. Wird einer der acht Key Slots beschädigt, entschlüsseln die noch unversehrten Nachschlüssel weiterhin sämtliche Daten.

Das ist gemeint.

Wie erstelle ich einen Nachschlüssel?

Das ist einfach luksAddKey...

Bei LUKS 1 waren insgesamt 8 Keys möglich.

Bei LUKS 2 sind es 1-32 Keys je nach Data Offset.

Ob das nun Passwörter, Keyfiles, Personen, Osterhasen oder sonst was sind, das interessiert LUKS einen feuchten Kehricht...

Wird einer der acht Key Slots beschädigt, entschlüsseln die noch unversehrten Nachschlüssel weiterhin sämtliche Daten.

Solange der Schaden exklusiv im Key Material liegt, ist das richtig.

Aber das ersetzt natürlich nicht ein ordentliches Backup des LUKS Headers.

Zusätzliche Passwörter sind eher für den Fall, daß man mal eins vergisst. Oder man hat ein Keyfile und verliert dieses oder man hat nicht immer Zugriff darauf und will eben trotzdem noch eine normale Passphrase zum Eintippen haben.

frostschutz schrieb:

Aber das ersetzt natürlich nicht ein ordentliches Backup des LUKS Headers.

Wie mache ich das?

Steht in der oben verlinkten Wikiseite auch dabei (Header sichern, luksHeaderBackup)

https://wiki.ubuntuusers.de/LUKS/

Hallo Users,

Bei LUKS 2 sind es 1-32 Keys je nach Data Offset.

d. h. ich kann bis zu 32 PC-Usern einen eigenen LUKS-Schlüssel / Key zuordnen?

Gibt es noch unterschiedliche Klassifizierungen der Keys oder gibt es einen Masterkey?

Kann ich das Passwort der verschlüsselten LVM Partition nur durch einen neuen Key-2 und löschen des Key1 ändern?

Um diese Option zu haben darf ich also nur 31 PC-Users anstellen von 32 PS-Users anlegen?

Oder geht das irgendwie anders?

Wie geht man in der Praxis mit LVM Luks verschlüsselten Systemen um, wie viele LUKS Keys Passwörter werden vergeben?

Greetz

undine

Die Daten an sich werden mit einem Master-Key (bzw. das Ding heißt jetzt Volume-Key) verschlüsselt. Dieser Key wird beim luksFormat einmalig zufällig generiert und bleibt dann fest. Eine Änderung dieses Keys erfordert das neu-verschlüsseln sämtlicher Daten (cryptsetup reencrypt).

Die 1-32 Passphrases/Keyslots die du selbst auswählst, ergeben alle den gleichen Master-Key/Volume-Key der dann die gleichen Daten entschlüsselt. Deine Passphrase verschlüsselt also den Master-/Volume-Key und der Master-Key dann entsprechend die Daten.

Wenn der LUKS Header groß genug ist für 32 Keyslots dann kannst du auch alle 32 verwenden. Ob das nun in der Praxis wirklich Sinn macht ist eine andere Frage.

Eine Änderung dieses Keys erfordert das neu-verschlüsseln sämtlicher Daten (cryptsetup reencrypt).

Volume-Key ändern:

cryptsetup reencrypt

Bei welchem möglichem Szenario macht das Sinn?

LUKS Header groß genug

Wo und wie lege die Größe vom LUKS Header fest?

cryptsetup verwendet standardmäßig 16MiB für den LUKS2 Header. Aber wenn du mit LUKS1 angefangen hast und nach LUKS2 konvertiert hast, ist er nur 2M groß. Da hast du dann nur Platz für 8 Keys. Wer Platz sparen will kann beim luksFormat auch angeben, daß der Header nur 1M groß sein soll, da hast du dann wenigstens Platz für 3 Keys. Reicht ja meistens auch schon…

Ob LUKS1 oder LUKS2 und wie groß der LUKS Header / das Data Offset ist, kann man mit cryptsetup luksDump checken. Bei LUKS1 sind immer nur 8 Keys möglich.

32 Keys (oder selbst auch nur 8 Keys) tatsächlich zu verwenden ist etwas unpraktisch. Bei jeder Fehleingabe werden alle Keys durchprobiert. Das dauert dann so 2-3 Sekunden pro Key. Die Wartezeit bis es weiter geht multipliziert sich…

Man kann bei LUKS2 dann noch eine Priorität pro Key einstellen (z.B. daß der Key nur verwendet werden soll wenn der Keyslot explizit angegeben wurde) damit kann man solche Probleme dann umschiffen, aber das wird standardmäßig nirgends unterstützt und erfordert dann eigene Scripte die das verwenden.

Bei meinen eigenen LUKS-Containern habe ich in der Regel nicht mehr als 3 Keys... zweimal meine Passphrase (im DE- und US-Keyboard-Layout) und dann vielleicht noch ein Keyfile.

zweimal meine Passphrase (im DE- und US-Keyboard-Layout) und dann vielleicht noch ein Keyfile.

Das ist pfiffig.

Da das Thema für mich ziemlich komplex aussieht, wo sollte ich anfangen meine Wissenslücken auszugleichen um LUKS betriebssicher nutzen zu können?

@Frostschutz

Wie lange nutzt Du LUKS?

Warum meinst Du wird LUKS im Form so wenig behandelt?

Das Thema ist zu schwer?

Es wird genutzt, Probleme sind eher selten?

Weitere Belesung: https://linux-blog.anracom.com/2018/11/13/dm-crypt-luks-begriffe-funktionsweise-und-die-rolle-des-hash-verfahrens-i/

Die DSGVO zwingt Freelancer, sich stärker als zuvor mit der Sicherung von Daten, die im Rahmen von Kundenprojekten auf eigenen Systemen anfallen, zu befassen. Das beinhaltet dann u.a. Sicherungsmaßnahmen für den Verlust/Diebstahl von Laptops.

https://forum.ubuntuusers.de/topic/dualboot-windows-linux-verschluesselr-installi/4/#post-9383974

undine schrieb:

Hallo Users,

meine verschlüsseltes lvm crypt verschlüsseltes Kubuntu 22.04 läuft ohne Probleme.

Jetzt möchte ich in den Produktivibetrieb übergehen.

Zur Zeit habe ich nur "ein" Passwort um das System zu entschlüsseln.

Das "ein" Passwwort ist für den Superuser und für die Verschlüsselung identisch.

Was sollte ich mir zusätzlich bereithalten, erstellen, generieren um mögliche Problemszenarien lösen zu können?

Passwort und Headerverwaltung https://wiki.ubuntuusers.de/LUKS/Passwort_und_Headerverwaltung/

Nachschlüssel https://forum.ubuntuusers.de/topic/luks-nachschluessel-erstellen/

Was gehört in meinen "Notfallwerkzeugkasten"?

Greetz

undine

ct 14 2023 S. 158 Wann und wie man LUKS-Header aktualisieren sollte

Hallo, gibt es hier Erfahrung?

Bin ich hier für den ersten Schritt richtig? https://wiki.ubuntuusers.de/LUKS/Passwort_und_Headerverwaltung/

sudo cryptsetup luksDump GERÄTEDATEI 

Was kann ich mit der Ausgabe anfangen?

Mein Eingabepasswort kann ich darin nicht erkennen.

Auszug:

sudo cryptsetup luksDump /dev/nvme0n1p8
LUKS header information
Version:        2
Epoch:          3
Metadata area:  16384 [bytes]
.
.
.
Keyslots:
  0: luks2
        Key:        512 bits
        Priority:   normal
        Cipher:     aes-xts-plain64
        Cipher key: 512 bits
        PBKDF:      argon2id
        Time cost:  4

Headerverwaltung, Wiki https://wiki.ubuntuusers.de/LUKS/Passwort_und_Headerverwaltung/

01 Header Backup

sudo cryptsetup luksHeaderBackup GERÄTEDATEI --header-backup-file BACKUP-DATEI

oder

sudo cryptsetup luksHeaderBackup /dev/DEVICE --header-backup-file /PFAD/ZU/DATEI
 

undine schrieb:

Mein Eingabepasswort kann ich darin nicht erkennen.

Das wäre ja ein Unding. Dass Passwörter im Klartext gespeichert wurden, sollte nur noch in der Erinnerung existieren und dort langsam verblassen – Im 21. Jahrhundert hat das jedenfalls nichts zu suchen.

und dann vielleicht noch ein Keyfile.

die Konfiguration und Einbindung von verschlüsselten LUKS-Datenträgern mittels einer Schlüsseldatei ein. Mit dieser lassen sich beliebig viele LUKS-Datenträger ohne extra Passworteingabe öffnen, jedoch ist der Schlüssel im Klartext gespeichert.

02 Keyfile erstellen

https://wiki.ubuntuusers.de/Archiv/LUKS/Schl%C3%BCsseldatei/

Achtung!

Die erstellte Schlüsseldatei enthält das Passwort im Klartext, sie darf sich folglich nur auf einem verschlüsselten Datenträger befinden und nur für root lesbar sein.

tr -dc '0-9a-zA-Z' </dev/urandom | head -c 32 > <Schlüsseldatei>

Ist die "Schlüsseldateiname" wirklich nur eine einfache txt-Datei mit dem Passwort?

Welche Endung habe ich dieser zu geben?

Bei meinen eigenen LUKS-Containern habe ich in der Regel nicht mehr als 3 Keys... zweimal meine Passphrase (im DE- und US-Keyboard-Layout) und dann vielleicht noch ein Keyfile.

Wo spielt das US-Keyboard-Layout Passwort überall die Vorteile aus?

In welchen Szenarien habe ich Vorteile mit einem US-Keyboard-Layout Passwort?

Wie kann Kann ich mir den Volume-Key, früher Master-Key anzeigen lassen?