cryptsetup manuelle PW-Eingabe -> key-file

[Karamel]

Moin!

Ich möchte das Passwort für einen verschlüsselten Container nicht mehr wie bisher manuell eingeben, sondern möchte mit einem Key-File arbeiten:

Dazu habe ich mit nano das Passwort in eine Datei geschrieben, aber:

Code: Alles auswählen

cryptsetup luksOpen -T 1 --test-passphrase --key-file key1.txt Container-Datei container

sagt, das PW sei falsch.

Wenn ich dies probiere:

Code: Alles auswählen

cryptsetup luksOpen -T 1 --test-passphrase Container-Datei container

und das PW per Copy & Paste aus dem Key-File kopiere, funktioniert es.
Was mache ich falsch?

[TomL]

Soweit ich mich erinnere, muss dafür via

Code: Alles auswählen

cryptsetup luksAddKey <Gerät> <Schlüsseldatei> 

ein eigener Keyslot hinzugefügt werden.

[breakthewall]

Was mache ich falsch?

Vermutlich hast etwas unterschätzt, dass man sich beim cryptsetup schon etwas gedacht hat. Denn die Quelle eines Schlüssels ist hier wie bereits angedeutet wurde von großer Bedeutung. Mal angenommen es wurde alles so konfiguriert, dass via USB-Key entschlüsselt wird. Dann nimmt das cryptsetup auch nur einen solchen Schlüssel aus jener Quelle an, egal ob man über den richtigen Schlüssel verfügt und diesen anderweitig eingeben will, es muss auf diese Weise eingespielt werden oder das Ganze wird scheitern. Wenn man so will, kann man das als Sicherheitsmaßnahme werten, zumal man nicht nur den Schlüssel kennen muss, sondern auch den Weg wie er eingespielt wird. Willst hier hingegen mehr Flexibilität, dann solltest die Schlüsseldatei zum Entschlüsseln angeben, und einen weiteren LUKS-Slot mit dem manuell eingegebenen Schlüssel anlegen. Dann kannst mit jeweils demselben Schlüssel auf mehrere Arten entschlüsseln. Aber damals dachte Ich auch, dass Ich unmöglich so dämlich sein kann meinen Schlüssel einzutippen.