LUKS Volumes mit einem Wiederherstellungsschlüssel versehen

Die meisten Verschlüsselungslösungen erzeugen automatisch einen sogenannten Wiederherstellungsschlüssel. Dabei handelt es sich simplifiziert ausgedrückt meist einfach um einen zweiten Schlüssel, um bei Bedarf doch noch an seine Daten zu kommen. LUKS macht dies nicht automatisch, man kann es aber nachträglich einrichten.

Dazu muss man sich vergegenwärtigen, dass ein LUKS Volume über 8 Key-Slots verfügt. Man kann also theoretisch 8 verschiedene Schlüssel für das gleiche LUKS-Volume vergeben. Ganz egal ob es sich dabei um eine komplette Betriebssystemverschlüsselung handelt (siehe: LUKS – Betriebssystem verschlüsseln) oder um ein externes Speichermedium wie eine externe Festplatte oder einen USB Stick (siehe: LUKS – Externe Speichermedien verschlüsseln).

Will man einen Wiederherstellungsschlüssel vergeben, sollte man erst einmal prüfen, in welchem Slot die existierende Primärpassphrase gespeichert ist.

$ sudo cryptsetup luksDump /dev/nvme0n1pX

Dabei natürlich das passende Volume auswählen.

Anzeigt werden die belegten Keyslots. Bei einer normalen Installation dürfte meistens der Keyslot 0 belegt sein. Der Wiederherstellungscode kann in einen beliebigen freien Slot geschrieben werden.

Dazu genügt folgender Befehl:

$ sudo cryptsetup luksAddKey /dev/nvme0n1pX --key-slot <Nummer>

Zuerst muss man die bestehende Passphrase eintragen und anschließend zwei mal den Wiederherstellungscode.

Beim Wiederherstellungscode gelten die üblichen Regeln für sichere Passwörter. Da man den Wiederherstellungsschlüssel im besten Fall nie eingeben muss, kann man hier einen wirklich langen Schlüssel wählen.

Anschließend kann man mit dem ersten Befehl prüfen ob nun der gewählte Keyslot belegt ist.

Den Wiederherstellungsschlüssel kann man z. B. als Ausdruck in einem Bankschließfach oder einem Tresor aufheben. Bei Bedarf lassen sich auch mehrere Schlüssel anlegen, lediglich die maximale Anzahl von 8 Schlüsseln kann nicht überschritten werden.

Mehr aus dem Blog

1.000 Beiträge

Mit dem Artikel über Mastodon habe ich den 1000. Blogbeitrag auf Curius veröffentlicht. Nicht mitgezählt sind die Themenseiten, die in WordPress nicht als Blogbeiträge...

Mastodon – Dank Elon Musk endlich ein Erfolg

Mastodon gibt es schon lange. Twitter sogar noch länger. Viele Jahre haben die Mastodon-Fans um die Twitter-Nutzer geworben. Denn ein soziales Netzwerk lebt davon,...

Canonical arbeitet an einer TPM-basierten Verschlüsselung

Mit dem in Kürze erscheinenden Ubuntu 23.10 wird Canonical erstmals experimentell eine vollständige TPM-basierte Verschlüsselung einführen. Eine kurze Einführung wurde kürzlich im offiziellen Ubuntu-Blog...

Tipp: PDFs bearbeiten mit PDF Mix Tool

Manchmal möchte man aus einem PDF eine Seite entfernen oder nachträglich eine Seite hinzufügen. Für GNOME und GTK-basierte Desktop-Umgebungen gibt es Werkzeuge wie Sand...