Recovery Key mit systemd-cryptenroll erzeugen

Bei der Vollverschlüsselung fragen andere Betriebssysteme als Linux die Anwender automatisch, ob ein Wiederherstellungsschlüssel in der Cloud (schlechte Idee!) oder als Ausdruck generiert werden soll. Bei Linux muss der Anwender das selbst übernehmen. Systemd-cryptenroll unterstützt die Erstellung eines Reocvery Keys.

Recovery Keys sind eigentlich nur besonders starke Passwörter, um im Notfall den Passwortschutz zu umgehen. Man kann darauf verzichten, wenn man der Meinung ist, dass niemand außer einem selbst an die Geräte kommen soll. Das ist aber oft nicht der Fall, sondern die meisten Menschen machen sich zu wenig Gedanken darüber, was passiert, wenn sie selbst nach einem schweren Unfall ihre Geräte nicht mehr entsperren können oder im Todesfall Angehörige an Daten kommen möchten. Früher war alles analog in Form von Ausdrucken vorhanden, aber wer im digitalen Zeitalter schon einmal einen Todesfall in der Familie hatte, weiß, dass gängige Verschlüsselungslösungen eine von niemandem gewollte Hürde darstellen. Wiederherstellungsschlüssel an einem sicheren Ort wie einem Safe oder Bankschließfach können für Angehörige den Zugang zu wichtigen Dokumenten oder Erinnerungsstücken wie Fotos erleichtern.

Für LUKS-Volumes kann man dazu einfach ein besonders starkes alphanumerisches Kennwort erstellen. Das hatte ich hier schon mal beschrieben. Die systemd-Entwickler lösen zum Glück diese alten unhandlichen Tools ab und denken an solche Schritte. Ich bearbeite meine LUKS-Schlüssel deshalb schon seit längerem primär mit systemd-cryptenroll und nicht dem alten unhandlichen cryptsetup. Mit folgendem Befehl lässt sich ein zufällig generierter sicherer Schlüssel erstellen:

# systemd-cryptenroll /dev/nvme0n1p3 --recovery-key ##Laufwerk anpassenCode-Sprache: PHP (php)

Anschließend wird in einem freien Key-Slot ein Recovery Key mit 71 Zeichen erstellt. Dieser wird angezeigt und muss natürlich kopiert und gespeichert werden. Alternativ wird ein QR-Code angezeigt, mit dem der Recovery Key eingescannt werden kann.

Nichts, was nicht bisher mit anderen Tools auch erreicht werden konnte, aber eine sinnvolle Erleichterung.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
  1. Hilft aber nur, solange der LUKS-Header intakt ist! Sollte der mal beschädigt werden, sind deine Daten auch mit einem „Recovery-Key“ hoffnungslos verloren.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel