Dieser Artikel wurde archiviert, da er - oder Teile daraus - nur noch unter einer älteren Ubuntu-Version nutzbar ist. Diese Anleitung wird vom Wiki-Team weder auf Richtigkeit überprüft noch anderweitig gepflegt. Zusätzlich wurde der Artikel für weitere Änderungen gesperrt.
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Von dieser Variante wird abgeraten, so lange man sich nicht 100% sicher ist was man tut! Ansonsten ist die gesamte Verschlüsselung wirkungslos!
Die beschriebenen Alternativen sind im Regelfall vorzuziehen.
Alle folgenden Befehle benötigen Root-Rechte. Man sollte also entweder immer sudo vor das betreffende Kommando setzen oder mit sudo -s Root-Status erlangen!
Diese Anleitung geht auf die Konfiguration und Einbindung von verschlüsselten LUKS-Datenträgern mittels einer Schlüsseldatei ein. Mit dieser lassen sich beliebig viele LUKS-Datenträger ohne extra Passworteingabe öffnen, jedoch ist der Schlüssel im Klartext gespeichert.
Die Vorbereitung ist identisch mit der des LUKS-Artikels. Dieser sollte zuerst einmal durchgearbeitet und verstanden werden.
Die erstellte Schlüsseldatei enthält das Passwort im Klartext, sie darf sich folglich nur auf einem verschlüsselten Datenträger befinden und nur für root lesbar sein [1].
Der Inhalt der Schlüsseldatei wird exakt als Passwort übernommen, sie darf also auch keinen Absatz am Ende enthalten, da dies sonst als Zeichen angesehen würde. Der folgende Befehl [3] fragt nach dem Passwort und speichert es in der angegebenen <Schlüsseldatei>
.
read -s -p "Password: " passw && echo -n $passw > <Schlüsseldatei> && passw=''
Der folgende Befehl erzeugt ein zufälliges Passwort mit 32 Stellen und speichert es in der angegebenen <Schlüsseldatei>
.
tr -dc '0-9a-zA-Z' </dev/urandom | head -c 32 > <Schlüsseldatei>
Sollte die Schlüsseldatei beschädigt oder gelöscht werden, könnten die damit verschlüsselten LUKS-Datenträger nicht mehr geöffnet werden. Deshalb sollte zu jedem ein zusätzliches, bekanntes Passwort hinzugefügt [2] oder die Schlüsseldatei separat verschlüsselt gesichert werden.
Soll ein bestehendes LUKS-Gerät mit einer neue Schlüsseldatei geöffnet werden können, ist wie folgt vorzugehen:
cryptsetup luksAddKey <Gerät> <Schlüsseldatei>
Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine Schlüsseldatei verwendet hat lautet der Befehl:
cryptsetup luksAddKey <Gerät> <neue_Schlüsseldatei> --key-file <alte_Schlüsseldatei>
Es ist aus Sicherheitsgründen empfehlenswert die Partition ein mal mit Zufallszahlen zu überschreiben, vor allen Dingen, wenn auf dieser vorher unverschlüsselte Daten gespeichert waren. [6] Ansonsten sind unter Umständen viele Dateien nach dem Verschlüsseln noch auslesbar.
Soll ein neues LUKS-Gerät mit einer Schlüsseldatei erzeugt werden, wird folgender Befehl eingesetzt [3]:
Alle bisherigen Daten auf dem betreffenden Gerät gehen verloren!
cryptsetup -c aes-xts-plain -s 512 luksFormat <Gerät> <Schlüsseldatei>
Mit diesem Befehl wird das LUKS-Gerät per Schlüsseldatei geöffnet [3]:
cryptsetup luksOpen <Gerät> <Name> --key-file <Schlüsseldatei>
Zum Öffnen eines LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form [4] an die Datei /etc/crypttab angehängt [5].
<Name> UUID=<UUID> <Schlüsseldatei> luks
Anschließend müssen noch mit folgendem Befehl die Startdateien aktualisiert werden:
update-initramfs -u -k all
Eine Schlüsseldatei kann wie folgt entfernt werden:
cryptsetup luksRemoveKey <Gerät> <Schlüsseldatei>
Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet lautet der Befehl:
cryptsetup luksRemoveKey <Gerät> <zu_entfernende_Schlüsseldatei> --key-file <andere_Schlüsseldatei>
Wird Hardy verwendet, muss man einen bestimmten Slot löschen:
cryptsetup luksDelKey <Gerät> <Speicherplatz>
Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet hat lautet der Befehl:
cryptsetup luksDelKey <Gerät> <Speicherplatz> --key-file <andere_Schlüsseldatei>
Ist die Schlüsseldatei verloren gegangen, muss man einen bestimmten Slot löschen:
cryptsetup luksKillSlot <Gerät> <Speicherplatz>
Das vorhandene Kennwort des LUKS-Gerätes ist einzugeben. Falls man eine andere Schlüsseldatei verwendet hat, lautet der Befehl:
cryptsetup luksKillSlot <Gerät> <Speicherplatz> --key-file <andere_Schlüsseldatei>
Diese Revision wurde am 20. Mai 2012 17:47 von frustschieber erstellt.