LUKS Volumes mit einem Wiederherstellungsschlüssel versehen

Die meisten Verschlüsselungslösungen erzeugen automatisch einen sogenannten Wiederherstellungsschlüssel. Dabei handelt es sich simplifiziert ausgedrückt meist einfach um einen zweiten Schlüssel, um bei Bedarf doch noch an seine Daten zu kommen. LUKS macht dies nicht automatisch, man kann es aber nachträglich einrichten.

Dazu muss man sich vergegenwärtigen, dass ein LUKS Volume über 8 Key-Slots verfügt. Man kann also theoretisch 8 verschiedene Schlüssel für das gleiche LUKS-Volume vergeben. Ganz egal ob es sich dabei um eine komplette Betriebssystemverschlüsselung handelt (siehe: LUKS – Betriebssystem verschlüsseln) oder um ein externes Speichermedium wie eine externe Festplatte oder einen USB Stick (siehe: LUKS – Externe Speichermedien verschlüsseln).

Will man einen Wiederherstellungsschlüssel vergeben, sollte man erst einmal prüfen, in welchem Slot die existierende Primärpassphrase gespeichert ist.

$ sudo cryptsetup luksDump /dev/nvme0n1pX

Dabei natürlich das passende Volume auswählen.

Anzeigt werden die belegten Keyslots. Bei einer normalen Installation dürfte meistens der Keyslot 0 belegt sein. Der Wiederherstellungscode kann in einen beliebigen freien Slot geschrieben werden.

Dazu genügt folgender Befehl:

$ sudo cryptsetup luksAddKey /dev/nvme0n1pX --key-slot <Nummer>

Zuerst muss man die bestehende Passphrase eintragen und anschließend zwei mal den Wiederherstellungscode.

Beim Wiederherstellungscode gelten die üblichen Regeln für sichere Passwörter. Da man den Wiederherstellungsschlüssel im besten Fall nie eingeben muss, kann man hier einen wirklich langen Schlüssel wählen.

Anschließend kann man mit dem ersten Befehl prüfen ob nun der gewählte Keyslot belegt ist.

Den Wiederherstellungsschlüssel kann man z. B. als Ausdruck in einem Bankschließfach oder einem Tresor aufheben. Bei Bedarf lassen sich auch mehrere Schlüssel anlegen, lediglich die maximale Anzahl von 8 Schlüsseln kann nicht überschritten werden.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Mehr aus dem Blog

Fedora Silverblue – Toolbox für grafische Anwendungen

Unveränderbare Linux-Systeme wie Fedora Silverblue nutzen als Standard Flatpak für Anwendungsinstallationen. Doch noch liegen nicht alle Anwendungen als Flatpak vor. Diese können dann entweder...

Fedora Silverblue im Praxistest

Ich liebe LTS-Distributionen, aber diese bewahren einen leider nicht vor defekten SSDs im Notebook. Da ich keine Vollsicherung der Systeme mache, sondern nur Datenbackups...

Neues Design bei Mozilla Thunderbird

Die Entwickler von Mozilla Thunderbird wagen sich an eine Modernisierung des überkommenen Designs. Dabei zeigen sich die alten Probleme der Open Source Entwicklung. Mangels...

systemd und TPM – Die Reise geht weiter

Auf der diesjährigen FOSDEM kündigte Lennart Poettering die Weiterentwicklung der TPM-basierten Sicherheitsfunktionen in systemd an. Die Vision eines neuen Linux nimmt immer mehr Gestalt...