Bei der Vollverschlüsselung fragen andere Betriebssysteme als Linux die Anwender automatisch, ob ein Wiederherstellungsschlüssel in der Cloud (schlechte Idee!) oder als Ausdruck generiert werden soll. Bei Linux muss der Anwender das selbst übernehmen. Systemd-cryptenroll unterstützt die Erstellung eines Reocvery Keys.
Recovery Keys sind eigentlich nur besonders starke Passwörter, um im Notfall den Passwortschutz zu umgehen. Man kann darauf verzichten, wenn man der Meinung ist, dass niemand außer einem selbst an die Geräte kommen soll. Das ist aber oft nicht der Fall, sondern die meisten Menschen machen sich zu wenig Gedanken darüber, was passiert, wenn sie selbst nach einem schweren Unfall ihre Geräte nicht mehr entsperren können oder im Todesfall Angehörige an Daten kommen möchten. Früher war alles analog in Form von Ausdrucken vorhanden, aber wer im digitalen Zeitalter schon einmal einen Todesfall in der Familie hatte, weiß, dass gängige Verschlüsselungslösungen eine von niemandem gewollte Hürde darstellen. Wiederherstellungsschlüssel an einem sicheren Ort wie einem Safe oder Bankschließfach können für Angehörige den Zugang zu wichtigen Dokumenten oder Erinnerungsstücken wie Fotos erleichtern.
Für LUKS-Volumes kann man dazu einfach ein besonders starkes alphanumerisches Kennwort erstellen. Das hatte ich hier schon mal beschrieben. Die systemd-Entwickler lösen zum Glück diese alten unhandlichen Tools ab und denken an solche Schritte. Ich bearbeite meine LUKS-Schlüssel deshalb schon seit längerem primär mit systemd-cryptenroll und nicht dem alten unhandlichen cryptsetup. Mit folgendem Befehl lässt sich ein zufällig generierter sicherer Schlüssel erstellen:
# systemd-cryptenroll /dev/nvme0n1p3 --recovery-key ##Laufwerk anpassen
Code-Sprache: PHP (php)
Anschließend wird in einem freien Key-Slot ein Recovery Key mit 71 Zeichen erstellt. Dieser wird angezeigt und muss natürlich kopiert und gespeichert werden. Alternativ wird ein QR-Code angezeigt, mit dem der Recovery Key eingescannt werden kann.
Nichts, was nicht bisher mit anderen Tools auch erreicht werden konnte, aber eine sinnvolle Erleichterung.
Hilft aber nur, solange der LUKS-Header intakt ist! Sollte der mal beschädigt werden, sind deine Daten auch mit einem „Recovery-Key“ hoffnungslos verloren.
Stimmt.