LUKS Volumes mit einem Wiederherstellungsschlüssel versehen

Die meisten Verschlüsselungslösungen erzeugen automatisch einen sogenannten Wiederherstellungsschlüssel. Dabei handelt es sich simplifiziert ausgedrückt meist einfach um einen zweiten Schlüssel, um bei Bedarf doch noch an seine Daten zu kommen. LUKS macht dies nicht automatisch, man kann es aber nachträglich einrichten.

Dazu muss man sich vergegenwärtigen, dass ein LUKS Volume über 8 Key-Slots verfügt. Man kann also theoretisch 8 verschiedene Schlüssel für das gleiche LUKS-Volume vergeben. Ganz egal ob es sich dabei um eine komplette Betriebssystemverschlüsselung handelt (siehe: LUKS – Betriebssystem verschlüsseln) oder um ein externes Speichermedium wie eine externe Festplatte oder einen USB Stick (siehe: LUKS – Externe Speichermedien verschlüsseln).

Will man einen Wiederherstellungsschlüssel vergeben, sollte man erst einmal prüfen, in welchem Slot die existierende Primärpassphrase gespeichert ist.

$ sudo cryptsetup luksDump /dev/nvme0n1pX

Dabei natürlich das passende Volume auswählen.

Anzeigt werden die belegten Keyslots. Bei einer normalen Installation dürfte meistens der Keyslot 0 belegt sein. Der Wiederherstellungscode kann in einen beliebigen freien Slot geschrieben werden.

Dazu genügt folgender Befehl:

$ sudo cryptsetup luksAddKey /dev/nvme0n1pX --key-slot <Nummer>

Zuerst muss man die bestehende Passphrase eintragen und anschließend zwei mal den Wiederherstellungscode.

Beim Wiederherstellungscode gelten die üblichen Regeln für sichere Passwörter. Da man den Wiederherstellungsschlüssel im besten Fall nie eingeben muss, kann man hier einen wirklich langen Schlüssel wählen.

Anschließend kann man mit dem ersten Befehl prüfen ob nun der gewählte Keyslot belegt ist.

Den Wiederherstellungsschlüssel kann man z. B. als Ausdruck in einem Bankschließfach oder einem Tresor aufheben. Bei Bedarf lassen sich auch mehrere Schlüssel anlegen, lediglich die maximale Anzahl von 8 Schlüsseln kann nicht überschritten werden.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...