[gelöst] cryptsetup - fallback zu Passphrase

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

[gelöst] cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 02.04.2019 15:57:55

Nach diesem hier https://bugs.debian.org/cgi-bin/bugrepo ... bug=502598 sollte es möglich sein, mit Keyfile zu entschlüsseln und wenn das nicht da ist (USB-Stick nicht angesteckt) auf Passphrase-Eingabe zu wechseln. Nur klappt es leider nicht. Wie muss eine entsprechende Zeile in /etc/crypttab aussehen? Im Moment ist es so:

Code: Alles auswählen

sda6_crypt UUID=41b2f2c4-789f-4068-8ed4-910222835ce2 /dev/disk/by-uuid/C5E1-C366:/cryptkeyfile.txt:10 luks,keyscript=/lib/cryptsetup/scripts/passdev
Die "10" in der Zeile würde ich als den Timeout interpretieren, nach dem dann eine Passphrase gefordert wird. Das klappt aber nicht. Wie ist es richtig?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: cryptsetup - fallback zu Passphrase

Beitrag von TomL » 02.04.2019 16:28:06

Ich weiss nicht, ob meine einige Zeit zurückliegenden Tests dazu heute noch der ultimativen Wahrheit entsprechen... aber ich habe damals beim Thema Keyfile und Passphrase mit einigen Experimenten versucht die Funktionsweise herauszufinden und zu bestätigen und bin dann darüber zu eigenen Schlüssen gekommen. Ich wollte halt meine Daten nicht allein einem Key anvertrauen und immer noch einen 2. Weg "rein" haben.

Also, ich bin damals zu dem Fazit gekommen, dass die Keyslots Typgebunden sind. Ich konnte also bei einem Keyslot-Typ "Keyfile" nicht mit Eingabe des gleichen Keys als Passphrase entschlüsseln. Ebensowenig konnte ich die Passphrase als "Keyfile" übergeben, weil eben der Slot mit diesem Key als Passphrase definiert war.

Um überhaupt irgendwelche Änderungen vorzunehmen, Key-Slots hinzufügen, zu löschen oder Keys verändern... was auch immer, musste immer EIN aktiver Keyslot verfügbar sein, entweder mit Keyfile oder mit Passphrase. Egal welcher Keyslot, es musste nur einer sein, der den passenden typgebundenen Key akzeptiert.... dann war alles erlaubt.

Was ich nun sagen will, wenn Du nur einen Keyfile-Slot hast, vermute ich, das wird mit einer Passphrase nicht klappen.
vg, Thomas

Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 02.04.2019 16:43:14

Ich habe einen Slot mit Passphrase und einen mit Keyfile. Es ist also beides möglich:

Code: Alles auswählen

> cryptsetup luksDump /dev/sda6
LUKS header information for /dev/sda6

Version:       	1
Cipher name:   	aes
Cipher mode:   	xts-plain64
Hash spec:     	sha256
Payload offset:	4096
MK bits:       	512
MK digest:     	e2 60 c1 8d 05 c3 8d b4 bd ec 43 f3 d5 f2 19 89 39 e9 fa 82 
MK salt:       	e4 37 d7 96 d1 d1 b2 c9 d0 2c d8 ca 53 ba 34 e8 
               	fd 4f 4f 1a 79 20 01 18 0b d5 bb 6b 91 a2 b8 71 
MK iterations: 	183750
UUID:          	41b2f2c4-789f-4068-8ed4-910222835ce2

Key Slot 0: ENABLED
	Iterations:         	1471263
	Salt:               	81 4a c8 88 dc 1e 27 08 f1 8a 12 5a 19 6d d1 d1 
	                      	fe 92 a6 2e 2b 46 83 90 b8 83 15 34 00 e0 01 84 
	Key material offset:	8
	AF stripes:            	4000
Key Slot 1: ENABLED
	Iterations:         	1488371
	Salt:               	dd 8f 79 2a de b1 1b 87 2a f6 68 a3 30 ed d7 4f 
	                      	3a 6d 33 43 39 24 5e 63 9f 0d c6 67 50 b0 2d 40 
	Key material offset:	512
	AF stripes:            	4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Ziel ist, dass wenn der USB-Stick nicht vorhanden ist, ein fallback auf die Passphrase-Eingabe erfolgt. Offenbar soll das sogar funktionieren mit den Scripten die mitgeliefert werden. Eventuell ist die Konfiguration in /etc/crypttab falsch.

Nach der Anpassung in /etc/crypttab mit ":10" habe ich update-initramfs -u und update-grub aufgerufen. Danach reboot ohne Stick und entsprechender Fehlermeldung. (3 Versuche auf den Stick zuzugreifen, danach nen sleep für 60 Sekunden)
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

TomL
Beiträge: 4594
Registriert: 24.07.2014 10:56:59

Re: cryptsetup - fallback zu Passphrase

Beitrag von TomL » 02.04.2019 17:39:34

McAldo hat geschrieben: ↑ zum Beitrag ↑
02.04.2019 15:57:55
Wie muss eine entsprechende Zeile in /etc/crypttab aussehen?
Das ist etwas, was ich noch nie gebraucht habe. Ich vermute mal, man braucht das bei verschlüsselten Betriebssystem-Partitionen... :roll: ... ich habe leider nur verschlüsselte Container und Daten-Partitionen. Für beides braucht man keine crypttab, sondern ich öffne sie ganz einfach via udev + systemd-service-unit... egal, ob hot-plug oder system-boot ... oder auch mal On-The-Fly via Script.Bei den Reise-Systemen, auf denen ein Keyfile via USB-Stick bereitgestellt wird, wird der Stick z.B. nach ~/.keys gemountet und von dort verwendet.... isser nicht da...?... Failed! Aber das ist dann so gewollt.

Fragt die Passphrase ab:
cryptsetup luksOpen /dev/sdb1 Crypt_HD

Verwendet ein Keyfile:
cryptsetup luksOpen /dev/sdb1 Crypt_HD --key-file /$path/.CryptCredentials

Sorry, mehr kann ich dazu leider nicht beitragen. :?
vg, Thomas

Benutzeravatar
Tintom
Beiträge: 1607
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: cryptsetup - fallback zu Passphrase

Beitrag von Tintom » 02.04.2019 18:39:28

Schau mal auf das Alter des Bugreports :wink:
Ich hatte so ein Skript lange am laufen, aber seit systemd Standard ist funktioniert es nicht mehr. Der USB-Stick wird einfach ignoriert.

dirk11
Beiträge: 2515
Registriert: 02.07.2013 11:47:01

Re: cryptsetup - fallback zu Passphrase

Beitrag von dirk11 » 02.04.2019 21:46:16

McAldo hat geschrieben: ↑ zum Beitrag ↑
02.04.2019 15:57:55
Wie ist es richtig?
Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.

Ich bin nach dieser hier vorgegangen, und damit sieht die Zeile bei mir wie folgt aus:

Code: Alles auswählen

sda2_crypt UUID=1111dddd-ff22-4aa4-aa88-05d883f28656 none luks,tries=3,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh
Wird kein Keyfile gefunden, gebe ich die Passphrase von Hand ein.

Benutzeravatar
Tintom
Beiträge: 1607
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: cryptsetup - fallback zu Passphrase

Beitrag von Tintom » 02.04.2019 22:37:34

Und du hast systemd am Laufen, @dirk11?
Dann verstehe ich nicht, wieso es bei mir nicht läuft.. :?

dirk11
Beiträge: 2515
Registriert: 02.07.2013 11:47:01

Re: cryptsetup - fallback zu Passphrase

Beitrag von dirk11 » 03.04.2019 00:10:26

Nein, natürlich nicht. Das war aber auch an keiner Stelle die Frage des TE. Das ist übrigens u.a. einer der Gründe, warum ich als Startsystem immer noch sysvinit nutze.

Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 09.04.2019 09:10:03

dirk11 hat geschrieben: ↑ zum Beitrag ↑
02.04.2019 21:46:16
McAldo hat geschrieben: ↑ zum Beitrag ↑
02.04.2019 15:57:55
Wie ist es richtig?
Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.
Ich habe mehrere Anleitungen gelesen, kann leider nicht mehr genau sagen welche alles.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 09.04.2019 10:48:50

Jetzt habe ich es mal nach dieser Anleitung versucht:
- https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
- https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick

Rechner startet nicht mehr. Diese Meldung kommt:

Code: Alles auswählen

Unable to stat /dev/disk/by-uuid/C6E0-C568
cryptsetup (sda5_crypt): cryptsetup failes, bad passwort or options?
cryptsetup (sda5_crypt):  maximum number of tries exceeded
cryptsetup: going to sleep for 60 seconds...
Sieht aus, als würde initram dazwischen funken. Habe die Einträge in der /etc/crypttab so gemacht, wie im Link. Die im Link genannte Datei (/var/run/....) war auch entsprechend vorhanden. Offenbar mag Debian/Stretch doch nicht so sehr mit systemd umgehen an der Stelle.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 09.04.2019 11:12:25

Wenn ich dem Typ aus diesem Link (https://www.technikamateur.de/server/lu ... chluesseln) folge und

Code: Alles auswählen

update-initramfs -u -k all
aufrufe, dann kommen diese Meldungen:

Code: Alles auswählen

$ update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
cryptsetup: WARNING: root target sda5_crypt uses a key file, skipped
cryptsetup: WARNING: sda5_crypt's key file /dev/sde is not on an encrypted root FS, skipped
Ist tatsächlich aus Debian 9 raus, dass ein keyfile genutzt werden kann?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

rhHeini
Beiträge: 876
Registriert: 20.04.2006 20:44:10

Re: cryptsetup - fallback zu Passphrase

Beitrag von rhHeini » 09.04.2019 22:49:46

Schau mal in diesen Thread, wo ich mit Hilfe von rendegast über systemd und automatische Entschlüsselung promoviert habe. Ist aber schon älter, geht um Jessie.
viewtopic.php?f=37&t=164245
Damals habe ich das für ein Device mit Key auf USB-Stick hinbekommen, und bei fehlendem Stick kam die Passwortabfrage.

Rolf

Benutzeravatar
Tintom
Beiträge: 1607
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: cryptsetup - fallback zu Passphrase

Beitrag von Tintom » 10.04.2019 06:56:23

Danke für den Hinweis! :)

Benutzeravatar
McAldo
Moderator
Beiträge: 2034
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: cryptsetup - fallback zu Passphrase

Beitrag von McAldo » 15.04.2019 15:18:34

So, als Nachtrag mal noch ...

mit der Anleitung bei Ubuntu-Users funktioniert es (auch bei Debian/Stretch). Man sollte dann aber nur nach dieser vorgehen und alles andere ignorieren. Der Schlüssel ist, mit keyscript zu arbeiten und NICHT mit keyfile.

https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Antworten