Seite 1 von 1
[gelöst] cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 15:57:55
von McAldo
Nach diesem hier
https://bugs.debian.org/cgi-bin/bugrepo ... bug=502598 sollte es möglich sein, mit Keyfile zu entschlüsseln und wenn das nicht da ist (USB-Stick nicht angesteckt) auf Passphrase-Eingabe zu wechseln. Nur klappt es leider nicht. Wie muss eine entsprechende Zeile in /etc/crypttab aussehen? Im Moment ist es so:
Code: Alles auswählen
sda6_crypt UUID=41b2f2c4-789f-4068-8ed4-910222835ce2 /dev/disk/by-uuid/C5E1-C366:/cryptkeyfile.txt:10 luks,keyscript=/lib/cryptsetup/scripts/passdev
Die "10" in der Zeile würde ich als den Timeout interpretieren, nach dem dann eine Passphrase gefordert wird. Das klappt aber nicht. Wie ist es richtig?
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 16:28:06
von TomL
Ich weiss nicht, ob meine einige Zeit zurückliegenden Tests dazu heute noch der ultimativen Wahrheit entsprechen... aber ich habe damals beim Thema Keyfile und Passphrase mit einigen Experimenten versucht die Funktionsweise herauszufinden und zu bestätigen und bin dann darüber zu eigenen Schlüssen gekommen. Ich wollte halt meine Daten nicht allein einem Key anvertrauen und immer noch einen 2. Weg "rein" haben.
Also, ich bin damals zu dem Fazit gekommen, dass die Keyslots Typgebunden sind. Ich konnte also bei einem Keyslot-Typ "Keyfile" nicht mit Eingabe des gleichen Keys als Passphrase entschlüsseln. Ebensowenig konnte ich die Passphrase als "Keyfile" übergeben, weil eben der Slot mit diesem Key als Passphrase definiert war.
Um überhaupt irgendwelche Änderungen vorzunehmen, Key-Slots hinzufügen, zu löschen oder Keys verändern... was auch immer, musste immer EIN aktiver Keyslot verfügbar sein, entweder mit Keyfile oder mit Passphrase. Egal welcher Keyslot, es musste nur einer sein, der den passenden typgebundenen Key akzeptiert.... dann war alles erlaubt.
Was ich nun sagen will, wenn Du nur einen Keyfile-Slot hast, vermute ich, das wird mit einer Passphrase nicht klappen.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 16:43:14
von McAldo
Ich habe einen Slot mit Passphrase und einen mit Keyfile. Es ist also beides möglich:
Code: Alles auswählen
> cryptsetup luksDump /dev/sda6
LUKS header information for /dev/sda6
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: e2 60 c1 8d 05 c3 8d b4 bd ec 43 f3 d5 f2 19 89 39 e9 fa 82
MK salt: e4 37 d7 96 d1 d1 b2 c9 d0 2c d8 ca 53 ba 34 e8
fd 4f 4f 1a 79 20 01 18 0b d5 bb 6b 91 a2 b8 71
MK iterations: 183750
UUID: 41b2f2c4-789f-4068-8ed4-910222835ce2
Key Slot 0: ENABLED
Iterations: 1471263
Salt: 81 4a c8 88 dc 1e 27 08 f1 8a 12 5a 19 6d d1 d1
fe 92 a6 2e 2b 46 83 90 b8 83 15 34 00 e0 01 84
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 1488371
Salt: dd 8f 79 2a de b1 1b 87 2a f6 68 a3 30 ed d7 4f
3a 6d 33 43 39 24 5e 63 9f 0d c6 67 50 b0 2d 40
Key material offset: 512
AF stripes: 4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
Ziel ist, dass wenn der USB-Stick nicht vorhanden ist, ein fallback auf die Passphrase-Eingabe erfolgt. Offenbar soll das sogar funktionieren mit den Scripten die mitgeliefert werden. Eventuell ist die Konfiguration in /etc/crypttab falsch.
Nach der Anpassung in /etc/crypttab mit ":10" habe ich
update-initramfs -u und
update-grub aufgerufen. Danach reboot ohne Stick und entsprechender Fehlermeldung. (3 Versuche auf den Stick zuzugreifen, danach nen sleep für 60 Sekunden)
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 17:39:34
von TomL
McAldo hat geschrieben: 
02.04.2019 15:57:55
Wie muss eine entsprechende Zeile in /etc/crypttab aussehen?
Das ist etwas, was ich noch nie gebraucht habe. Ich vermute mal, man braucht das bei verschlüsselten Betriebssystem-Partitionen...
... ich habe leider nur verschlüsselte Container und Daten-Partitionen. Für beides braucht man keine crypttab, sondern ich öffne sie ganz einfach via udev + systemd-service-unit... egal, ob hot-plug oder system-boot ... oder auch mal On-The-Fly via Script.Bei den Reise-Systemen, auf denen ein Keyfile via USB-Stick bereitgestellt wird, wird der Stick z.B. nach ~/.keys gemountet und von dort verwendet.... isser nicht da...?... Failed! Aber das ist dann so gewollt.
Fragt die Passphrase ab:
cryptsetup luksOpen /dev/sdb1 Crypt_HD
Verwendet ein Keyfile:
cryptsetup luksOpen /dev/sdb1 Crypt_HD --key-file /$path/.CryptCredentials
Sorry, mehr kann ich dazu leider nicht beitragen.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 18:39:28
von Tintom
Schau mal auf das Alter des Bugreports
Ich hatte so ein Skript lange am laufen, aber seit systemd Standard ist funktioniert es nicht mehr. Der USB-Stick wird einfach ignoriert.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 21:46:16
von dirk11
McAldo hat geschrieben: 02.04.2019 15:57:55
Wie ist es richtig?
Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.
Ich bin nach
dieser hier vorgegangen, und damit sieht die Zeile bei mir wie folgt aus:
Code: Alles auswählen
sda2_crypt UUID=1111dddd-ff22-4aa4-aa88-05d883f28656 none luks,tries=3,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh
Wird kein Keyfile gefunden, gebe ich die Passphrase von Hand ein.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 02.04.2019 22:37:34
von Tintom
Und du hast systemd am Laufen, @dirk11?
Dann verstehe ich nicht, wieso es bei mir nicht läuft..
Re: cryptsetup - fallback zu Passphrase
Verfasst: 03.04.2019 00:10:26
von dirk11
Nein, natürlich nicht. Das war aber auch an keiner Stelle die Frage des TE. Das ist übrigens u.a. einer der Gründe, warum ich als Startsystem immer noch sysvinit nutze.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 09.04.2019 09:10:03
von McAldo
dirk11 hat geschrieben: 02.04.2019 21:46:16
McAldo hat geschrieben: 02.04.2019 15:57:55
Wie ist es richtig?
Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.
Ich habe mehrere Anleitungen gelesen, kann leider nicht mehr genau sagen welche alles.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 09.04.2019 10:48:50
von McAldo
Jetzt habe ich es mal nach dieser Anleitung versucht:
-
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
-
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
Rechner startet nicht mehr. Diese Meldung kommt:
Code: Alles auswählen
Unable to stat /dev/disk/by-uuid/C6E0-C568
cryptsetup (sda5_crypt): cryptsetup failes, bad passwort or options?
cryptsetup (sda5_crypt): maximum number of tries exceeded
cryptsetup: going to sleep for 60 seconds...
Sieht aus, als würde initram dazwischen funken. Habe die Einträge in der /etc/crypttab so gemacht, wie im Link. Die im Link genannte Datei (/var/run/....) war auch entsprechend vorhanden. Offenbar mag Debian/Stretch doch nicht so sehr mit systemd umgehen an der Stelle.
Re: cryptsetup - fallback zu Passphrase
Verfasst: 09.04.2019 11:12:25
von McAldo
Wenn ich dem Typ aus diesem Link (
https://www.technikamateur.de/server/lu ... chluesseln) folge und
aufrufe, dann kommen diese Meldungen:
Code: Alles auswählen
$ update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
cryptsetup: WARNING: root target sda5_crypt uses a key file, skipped
cryptsetup: WARNING: sda5_crypt's key file /dev/sde is not on an encrypted root FS, skipped
Ist tatsächlich aus Debian 9 raus, dass ein keyfile genutzt werden kann?
Re: cryptsetup - fallback zu Passphrase
Verfasst: 09.04.2019 22:49:46
von rhHeini
Schau mal in diesen Thread, wo ich mit Hilfe von rendegast über systemd und automatische Entschlüsselung promoviert habe. Ist aber schon älter, geht um Jessie.
viewtopic.php?f=37&t=164245
Damals habe ich das für ein Device mit Key auf USB-Stick hinbekommen, und bei fehlendem Stick kam die Passwortabfrage.
Rolf
Re: cryptsetup - fallback zu Passphrase
Verfasst: 10.04.2019 06:56:23
von Tintom
Danke für den Hinweis!
Re: cryptsetup - fallback zu Passphrase
Verfasst: 15.04.2019 15:18:34
von McAldo
So, als Nachtrag mal noch ...
mit der Anleitung bei Ubuntu-Users funktioniert es (auch bei Debian/Stretch). Man sollte dann aber nur nach dieser vorgehen und alles andere ignorieren. Der Schlüssel ist, mit keyscript zu arbeiten und NICHT mit keyfile.
https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/