LUKS Volumes mit einem Wiederherstellungsschlüssel versehen

Die meisten Verschlüsselungslösungen erzeugen automatisch einen sogenannten Wiederherstellungsschlüssel. Dabei handelt es sich simplifiziert ausgedrückt meist einfach um einen zweiten Schlüssel, um bei Bedarf doch noch an seine Daten zu kommen. LUKS macht dies nicht automatisch, man kann es aber nachträglich einrichten.

Dazu muss man sich vergegenwärtigen, dass ein LUKS Volume über 8 Key-Slots verfügt. Man kann also theoretisch 8 verschiedene Schlüssel für das gleiche LUKS-Volume vergeben. Ganz egal ob es sich dabei um eine komplette Betriebssystemverschlüsselung handelt (siehe: LUKS – Betriebssystem verschlüsseln) oder um ein externes Speichermedium wie eine externe Festplatte oder einen USB Stick (siehe: LUKS – Externe Speichermedien verschlüsseln).

Will man einen Wiederherstellungsschlüssel vergeben, sollte man erst einmal prüfen, in welchem Slot die existierende Primärpassphrase gespeichert ist.

$ sudo cryptsetup luksDump /dev/nvme0n1pX

Dabei natürlich das passende Volume auswählen.

Anzeigt werden die belegten Keyslots. Bei einer normalen Installation dürfte meistens der Keyslot 0 belegt sein. Der Wiederherstellungscode kann in einen beliebigen freien Slot geschrieben werden.

Dazu genügt folgender Befehl:

$ sudo cryptsetup luksAddKey /dev/nvme0n1pX --key-slot <Nummer>

Zuerst muss man die bestehende Passphrase eintragen und anschließend zwei mal den Wiederherstellungscode.

Beim Wiederherstellungscode gelten die üblichen Regeln für sichere Passwörter. Da man den Wiederherstellungsschlüssel im besten Fall nie eingeben muss, kann man hier einen wirklich langen Schlüssel wählen.

Anschließend kann man mit dem ersten Befehl prüfen ob nun der gewählte Keyslot belegt ist.

Den Wiederherstellungsschlüssel kann man z. B. als Ausdruck in einem Bankschließfach oder einem Tresor aufheben. Bei Bedarf lassen sich auch mehrere Schlüssel anlegen, lediglich die maximale Anzahl von 8 Schlüsseln kann nicht überschritten werden.