Verschlüsselte Partitionen: Passwort hinzufügen (crypt)

Beitragsdatum	19.01.2012
Letzte Aktualisierung	02.01.2017
Betrifft	crypt, luks, verschiedene Versionen

Bei den meisten Kunden verschlüssel ich grundsätzlich die Festplatten (verschlüsseltes LVM) so, dass direkt beim Booten ein Passwort eingegeben werden muss. Wird der Rechner geklaut oder geht verloren, so kann der Dieb oder der unehrliche Finder keinen Zugriff auf die Daten erhalten.

Nutzen mehrere Personen den selben Rechner, so sollte man auch mehrere Passwörter einrichten, so dass jeder Nutzer sein eigenes Passwort für die Entschlüsselung der Daten nutzen kann. Es werden bei diesem Verfahren (LUKS) bis zu 8 sogenannte Slots unterstützt - also bis zu acht Passwörter. Die Passwörter sind gleichberechtigt - also gibt das unsicherste Passwort die Sicherheit vor.

Neues Passwort hinzufügen

Zum Hinzufügen eines neuen Passworts wie folgt vorgehen:

Gerätenamen ermitteln

Namen des verschlüsselten Geräts ermitteln (/dev/sdaX#):

Beim Booten schauen, was bei Eingabe des Passwortes angezeigt wird:
„Unlocking the disk […] (sdX#_crypt)„
sowie kurz nach Eingabe des korrektes Passwortes:
„cryptsetup: sdX#_crypt setup sucessfully“
- Hier den Buchstaben X und die Nummer # merken.
Klappt das nicht, so kann das korrekte Laufwerk auch mit der Laufwerksverwaltung ermittelt werden:
„System“ → „Systemverwaltung“ → „Laufwerksverwaltung“
- Dort durch die Festplatte(n) klicken. Sobald eine Partition mit „Verschlüsselt“ angezeigt wird, ist man richtig (siehe Screenshot). Nun auf diese Partition klicken und unter „Gerät“ die Bezeichnung ablesen.
Oder als weitere Möglichkeit im Terminal:
```
$ lsblk

NAME           MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda              8:0    0 119,2G  0 disk  
├─sda1           8:1    0   4,8G  0 part  /boot
├─sda2           8:2    0     1K  0 part  
└─sda5           8:5    0  95,4G  0 part  
  └─sda5_crypt 252:0    0  95,4G  0 crypt /
```
- In diesem Fall ist die verschlüsselte Partition /dev/sda5 - das /dev/sda5_crypt ist das gemappte, entschlüsselte Gerät - dort wird nicht das neue Passwort hinzugefügt. Das muss auf die echte Partition, in diesem Fall also /dev/sda5.
- Egal wie man das Gerät ermittelt, es muss die Form: /dev/sdX# haben, also z.B. /dev/sda5.

Passwort hinzufügen

Nun ein weiteren Passwort hinzufügen:

Slot hinzufügen:
```
$ sudo cryptsetup luksAddKey /dev/sdX#
```
Nach Eingabe des Passwortes für „sudo“ muss man ein gültiges Passwort für die Entschlüsselung des Gerätes eingeben.
Anschließend gibt man das zusätzliche neue Passwort ein (und dann nochmals).

Danach kann man die Festplatte mit beiden Passwörtern entschlüsseln.

Screenshot (anklicken zum Vergrößern):

Passwort löschen

Möchte man einen Slot löschen, dann geht das wie folgt:

Zum Löschen im Terminal eingeben:

$ sudo cryptsetup luksKillSlot /dev/sdX# [slot]

Zum Entsperren muss man ein Passwort eingeben, dass erhalten bleibt.
Damit wird Slot [slot] entfernt (Zählung beginnt bei 0!).

Bsp:

$ sudo cryptsetup luksKillSlot /dev/sda5 1

So sollte das klappen.

(Quelle: wiki.ubuntuusers.de)

zurück