Verschlüsseltes System - UBS Stick Keyfile

[gugus]

Hallo zusammen
Ich habe meinen Laptop neu aufgesetzt und bei der Gelegenheit das System verschlüsselt.
Alles funktioniert wunderbar, Stretch Standardinstallation mit KDE.

Nun bin ich auf die Idee gekommen den Schlüssel auf einen USB Stick zu installieren damit ich nicht jedes Mal das Passwort eingeben muss. Sprich, beim boot den Stick eingesteckt zu haben und nachher zu entfernen.
Funktioniert gemäss verschiedenen Beschreibungen aus dem Netz.
https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/
Dann bin ich darauf gestossen dass dies unter systemd nicht mehr funktioniert und Anpassungen notwendig sind.
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick

Nach durchlesen bin ich etwas verwirrt da die letzten Änderungen der Einträge zeitlich nicht aufeinander passen.

Meine Frage, hat dies jemand bereits in Betrieb oder getestet.

Ist die erste Anleitung im Ubuntu Wiki bereits systemd lauffähig oder eher eine Kombination beider.

Ich werde es ausprobieren wenn es aber jemand bereits getestet hat muss ich ja nicht unbedingt die selben Fehler nochmal machen.

Gruss
gugus

[gugus]

push ... (einmal hoch)

[wanne]

Die komsichen keyscript anleitungen waren schon immer unnötig kompliziert und tun mit Systemd gar nicht mehr.
Guck dir mal das an:
viewtopic.php?f=37&t=163571
Den Keyfile kannst du dann auch einfach auf den USB-Stick legen.
Ich würde das mit einer Partiton machen:

Code: Alles auswählen

apt install gdisk
cgdisk /dev/sdx # (der Stick)

Dann eine Partition mit einem Sektor (Meinetwegen auch 1MiB. Neue Partitionen willst du eh auf ein MiB allighnen. Größer nicht musst du ja auch bei jedem boot lesen.) und einem Namen (im Beispiel NAME) anlegen.
Dann (als root):

Code: Alles auswählen

partprobe #Partitionstabelle neu einlesen. Sollte eigentlich cgdisk machen. Sicher ist sicher.
cat /dev/urandom > /dev/disk/by-partlabel/NAME #endet mit Fehler, dass die Partition voll ist. (Ist so gewollt.)
cryptsetup luksAddKey /dev/sdyZ /dev/disk/by-partlabel/NAME #neuen Schlüssel hinzufügen sdyZ ist die Partition, die du öffnen willst.

Dann in die /etc/crypttab das none duch /dev/disk/by-partlabel/NAME ersetzen.
Vorsichtshalber nochmal:

Code: Alles auswählen

systemctl --system daemon-reload

Dann sollte es ohne passwortabfrage booten.

[gugus]

Cool, danke.
Den anderen Thread habe ich mitlerweile auch gefunden.
Die Idee den Schlüssel zwischen dem "Master Boot Record" (MBR) und der ersten Partition abzulegen gefällt mir wirklich gut.
Werde alles mal durchspielen, mal sehen wie es kommt.
Gruss
gugus

[wanne]

Die Idee den Schlüssel zwischen dem "Master Boot Record" (MBR) und der ersten Partition abzulegen gefällt mir wirklich gut.

Ich hatte zuerst dazukommandos posten wollen und es dann sein lassen.
Aus folgenden Grünen:

• Da liegt auf modernen Sticks die Partitionstabelle. (GPT). Wenn würde ich ganz sicher nach Block 34 (eher so 131) Schreiben. Auf keinen Fall bei Block 2.
• Grub legt sich dort für BIOS Rechner ab.
• Formatiert man FAT oder UDF wird der bereich überschrieben. Für gewisse Betriebssysteme ist das ein mal OK drücken und dein Key ist weg. (Backup würde ich sowieso anraten.)
• Da nirgends steht, dass da was genutzt wird, passieren obige Fehler gerne unabsichtlich. Mit Typ ef02 (BIOS-Boot) hast du bei etwas weiterer Interpretation sogar extra einen Partitionstyp für diesen Fall. Und mit den Atributen 60 (read only) oder 63 (noauto) auch ganz nette hints an Windows, dass es die nicht anfassen soll.
• Hat man einen anderen Stick eingesteckt wird der Key möglicherweise auf dem falschen Stick gesucht.
• Die Syntax ist recht komplex und es ist doch abzusehen, dass das in ein paar Monaten wieder nicht tut. Das Setup ist zu kompliziert. Ich hatte das auch schon zu Keyscripten angemerkt und jetzt tun sie mit systemd nicht mehr. Bei der derzeitigen kontinuität von systemd kannst du bei jedem update Beten, dass das wieder tut.

Die andere Variante klingt zwar ganz nett hat aber genau gar keinen Vorteil. (Nenne mir einen einzigen.)

Grub hat den wechsel von nach dem MBR zu auf eine ef02-Partition auch nicht umsonst gemacht. Schlechte Zuordnenbarkeit und zu viel ärger mit anderen Sachen, die da rein schreiben.
Und mit GPT kannst du jetzt typischerweise bis zu 8184 Partitionen anlegen. Die gehen dir nicht aus.

[Tintom]

Die andere Variante klingt zwar ganz nett hat aber genau gar keinen Vorteil. (Nenne mir einen einzigen.)

Ganz klar: Ein Unbeteiligter sieht nicht, dass da ein Key liegt. Auch gegen ubeabsichtigtes Formatieren ist die Idee mit dem versteckten Keyfile gerüstet, da idR die Partition formatiert wird und nicht der gesamte Stick geshreddert wird. Wie sich das bei Sticks mit GPT auswirkt kann ich nicht sagen.

[breakthewall]

Zwar ist ein Schlüssel auf einem USB-Stick sicher praktisch, auch wenn die ersten Sektoren des USB-Sticks als Schlüssel dienen, aber es bleibt dennoch ein Risiko. Genau genommen führt man somit jegliche Sicherheit ad absurdum, weil jeder Beliebige der diesen USB-Stick besitzt, unmittelbar Zugriff auf alles bekommt. Damit kann man sich die Verschlüsselung an sich schenken. So etwas ist nur sicher mittels 2-Faktor-Authentifizierung, indem der Schlüssel zusätzlich mittels Passwort und somit einem zweiten Faktor gesichert wird. Persönlich würde Ich immer bei Passwörtern bleiben, also einem grundsätzlichen Geheimnis das nirgendwo hinterlegt wurde. In diesem Bezug gibt es tolle Möglichkeiten sich Passwörter merken zu können, egal wie lang oder komplex sie auch sein mögen. Denn ein Passwort muss nicht komplex sein um Sicherheit zu gewährleisten, die Länge ist entscheidend. Und ein Linux-PC wird normal nur recht selten neu gestartet. Nur so ein Gedanke.

[wanne]

Ganz klar: Ein Unbeteiligter sieht nicht, dass da ein Key liegt.

Ganz im Gegenteil. In dem Bereichgibt es Eine Hand voll Sachen, die alle einen schönen Header haben. Wenn da was ohne Magic Number liegt, Schreit das lauter nach Key als irgend was.
Mit einer Partition kannst du im einfachsten Fall sowas machen:

Code: Alles auswählen

cat /dev/urandom > /dev/disk/by-partlabel/NAME
sfdisk -d > /tmp/backp/partitionstabellenbackup
genisoimage -o /tmp/output_image.iso /tmp/backp
cat /tmp/output_image.iso >  /dev/disk/by-partlabel/NAME

Dann sieht das so aus, als hättest du ein Backup für deine Partitionstabelle über irgend was gelöschtes komprimiertes geschoben.
Noch schöner ist natürlich gar nicht mit Random zu initialisieren einen Webserver oder ftp server log zu nehmen. Dann hast du ein vollständig konsistente log datei die genug Entropie hat und es ist gar nicht so unüblich die irgend wo auf ein externes Medium dumpen zu lassen, weil man / ro hat. OpenWRT macht das z.B. so. Wenn du auf nummer sicher gehen willst, dass das auch zufällig genug ist kannst du 16 mal die letzten beiden Bytes der IPs im Access log durch zufällige auszutauschen.

Auch gegen ubeabsichtigtes Formatieren ist die Idee mit dem versteckten Keyfile gerüstet, da idR die Partition formatiert wird und nicht der gesamte Stick geshreddert wird.

Wie gesagt, wenn du UDF oder FAT16 formatierst schreibt dir das genau an diese Stelle.

Wie sich das bei Sticks mit GPT auswirkt kann ich nicht sagen.

Wie gesagt der GPT-Header liegt in Block zwei. Die eigentliche Tabelle geht beliebig weit aber mindestens bis 34. Nicht genutzte Einträge müssen Ausgenullt werden.
Entsprechend würde ich maximal ab block 36 schreiben. (Die erste Partition liegt typischerweise bei Block 2048. Da ist also noch viel Platz.)
Aber wie gesagt: Wenn da keine Metadaten liegen, kannst du gar nicht lauter Key rufen. Vor allem weil es da normalerweise kein Überreste von alten sachen gibt, weil da immer alles überschrieben wird.

[TomL]

Zwar ist ein Schlüssel auf einem USB-Stick sicher praktisch, auch wenn die ersten Sektoren des USB-Sticks als Schlüssel dienen, aber es bleibt dennoch ein Risiko. Genau genommen führt man somit jegliche Sicherheit ad absurdum, weil jeder Beliebige der diesen USB-Stick besitzt, unmittelbar Zugriff auf alles bekommt. Damit kann man sich die Verschlüsselung an sich schenken.

Sorry, ich bitte Dich das jetzt nicht übel oder persönlich zu nehmen, aber ich halte das für einen maßlos überzogenen Blödsinn. Das wird imho umso deutlicher, wenn ich das so lapidar einfach mal auf meinen Hausschlüssel und die Eingangstür übertrage.... da reicht es ebenfalls aus, den Schlüssel von außen abzuziehen. Und zusätzlich zu diesem normalen Schlüssel noch ne Password-Eingabe am Haustür-Touch-Keyfeld...?... da würde ich echt an meinem Verstand zweifeln. Ich bin absolut davon überzeugt, dass es völlig ausreichend ist, den Schlüssel und das verschlüsselte Gerät nicht gemeinsam aufzubewahren, genauso wie es ausreicht, den Haustürschlüssel nicht von außen stecken zu lassen, wenn man das Haus verlässt.

Wenn ich meiner eigenen Familie misstrauen müsste und glaube, sie schnüffelt mir hinterher, würde ich über das weitere Zusammenleben mit dieser Familie nachdenken. Wenn ich solcherart Daten speichern würde, die ich sogar vor meiner eigenen Familie nachdrücklich geheim halten muss, nun, dann würde ich über meine "Neigungen" und evtl. eine Behandlung nachdenken. Und wenn sich jemand mit Gewalt meiner, des USB-Sticks und des Laptops bemächtigt, dann würde ich ihm mit Freude mein Password geben, weil ich sicher bin, dass er ansonsten seiner Neigung der Freude an der Gewalt nachgeben wird. Für mich hat der USB-Stick allein die Bewandtnis, meinen im Wohnwagen liegenden Laptop zu entsperren. Ist der Laptop allein in der Pappkiste, befindet sich der USB-Stick in meiner Geldbörse - damit sind die Daten des Laptops erstmal nicht zugänglich, wenn jemand einbrechen würde.

Na ja... es wird sicherlich spezielle Situationen gegeben, wo man den USB-Stick auch noch mal verschlüsselt.... aber dennoch waren die obigen Gedanken meine ersten Gedanken, als ich diesen Satz mit der 2-Faktor-Authorisierung gelesen habe und das aufs normale Leben des normalen Standardanwenders übertragen habe. Aber für die Alu-Hut-Fraktion mit sorgsam gepflegter Paranoia mögen Gürtel, Hosenträger und krampfhaftes Festhalten des Hosenbundes wohl obligatorisch sein...

s.c.n.r.

[breakthewall]

Sorry, ich bitte Dich das jetzt nicht übel oder persönlich zu nehmen, aber ich halte das für einen maßlos überzogenen Blödsinn. Das wird imho umso deutlicher, wenn ich das so lapidar einfach mal auf meinen Hausschlüssel und die Eingangstür übertrage.... da reicht es ebenfalls aus, den Schlüssel von außen abzuziehen. Und zusätzlich zu diesem normalen Schlüssel noch ne Password-Eingabe am Haustür-Touch-Keyfeld...?... da würde ich echt an meinem Verstand zweifeln. Ich bin absolut davon überzeugt, dass es völlig ausreichend ist, den Schlüssel und das verschlüsselte Gerät nicht gemeinsam aufzubewahren, genauso wie es ausreicht, den Haustürschlüssel nicht von außen stecken zu lassen, wenn man das Haus verlässt.

*übel nehm*

Die grundsätzliche Sache ist eben die, dass es kein ausreichend sicher gibt, im Bezug auf Verschlüsselung. Entweder man wendet sie so an, dass sie auch wirken kann und ihr Einsatz garantiert Früchte trägt, oder das Ganze wird irgendwo oberflächlich und nutzlos, ohne ausreichende Ernsthaftigkeit dahinter etwas wirklich schützen zu wollen. Denn ein Schlüssel in einer lesbaren Datei auf einem USB-Stick, ist letztlich auch nur ein Passwort. Nur Letzteres hätte man ausschließlich im Kopf, da käme Niemand heran. Hinsichtlich des Haustürschlüssels, wäre das durchaus sicherer nur andererseits auch wieder nicht. Zumal eine Haustür effektiv gebrochen oder gar einfach eingetreten werden kann ohne Schlüssel, während eine sichere Verschlüsselung ohne Schlüssel nur müde lächelt. Da helfen weder Gewalt noch alle Ressourcen dieses Planeten. Aber das Thema Sicherheit ist ohnehin sehr sensibel, und wenn Du der Ansicht bist, dass Dir das so genügt, dann ist das natürlich deine Sache inkl. möglicher Folgen. Nur Sicherheit ist nie bequem, weshalb es wichtig ist darauf hinzuweisen, wenn etwas fahrlässig wird. Jeder hat nun mal andere Ansprüche an Sicherheit, und erweiterte Verfahren gibt es ja nicht ohne Grund. Das ist noch weit weg jeglicher Paranoia. Allein die Zwei-Faktor-Authentifizierung ist in vielen Lebensbereichen Standard, da muss man nur an die Bankkarte denken, wo man einen Faktor physisch mitführt und den anderen Faktor im Kopf hat. Ich sehe das nun mal als kritisch an, wenn man Sicherheit zugunsten der Bequemlichkeit aufweicht.

[gugus]

Hallo zusammen
In der Tat, mein Gedanke ist der einen USB Stick tatsächlich an meinem Schlüsselbund zu haben den ich nur zum Booten einstecke und somit wie erwähnt die Türe öffne. Ein normales Login habe ich ja auch noch.
Klar, Bequemlichkeit ist der sichere Tod der Sicherheit, aber es geht mit darum dass wenn der Laptop in "falsche" Hände gerät nicht gleich alles offen ist. Der Laptop (mit SSD) bootet innert Sekunden, von daher fahre ich ihn immer runter ohne den Deckel einfach runterzuklappen.

In etwa so etwas: http://www.lacie.com/de/de/products/usb-keys/petitekey/

Gruss
Gugus