Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
keep3r
Beiträge: 5
Registriert: 28.08.2020 18:59:10

Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Beitrag von keep3r » 06.09.2020 11:21:07

Hallo zusammen,

ich versuche gerade folgendes Setup hin zu bekommen:
- Laptop 1 (Debian Buster, LUKS verschlüsselt): Privat
- Laptop 2 (Ubuntu 18.04, LUKS verschlüsselt): Eltern
- Externe HDD (Mit LUKS verschlüsselt): Gemeinsam genutzt für Backups

Plan/Motivation/Info:
Um die Verwendung der Platte möglichst simpel zu machen, wollte ich mit dem derived_key Skript (/lib/cryptsetup/scripts/decrypt_derived) sowohl von Laptop 1, als auch von Laptop 2 jeweils einen Schlüssel ableiten und diesen mit cryptsetup der externen HDD hinzufügen.
Anschließend hätte ich die Platte mit ihrer UUID jeweils in die /etc/crypttab eingetragen (soll dann wohl mit dem Parameter keyscript=/lib/cryptsetup/scripts/decrypt_derived" ein "automatisches" Entschlüsseln beim Anstecken ermöglichen). Ziel wäre gewesen, den Leuten keine weiteren Key-Eingaben abzuverlangen.

Problem:
Wenn ich auf Laptop 1 mittels:

Code: Alles auswählen

$ sudo /lib/cryptsetup/scripts/decrypt_derived sda5_crypt > ~/myfile
mal testweise den Schlüssel ableiten will, bevor ich ihn ablege, bekomme ich da nur den folgenden Text in der Datei:

Code: Alles auswählen

/lib/cryptsetup/scripts/decrypt_derived: device sda5_crypt uses the kernel keyring
Wie es aussieht, funktioniert das Skript mit LUKS2 Partitionen nicht so ohne weiteres, da LUKS2 die Schlüssel im kernel-keyring ablegt. Nun könnte man scheinbar mit der Option "--disable-keyring" ein anderes Verhalten erzwigen. Ich bin aber (noch) nicht tief genug in dem Thema um beurteilen zu können ob das eine gute Idee ist.

Meine Fragen wären nun:
1. Mach ich was falsch?
2. Hat jemand Erfahrung mit einem deartigen Setup bzw. bessere Vorschläge?

Beste Grüße

miwie
Beiträge: 116
Registriert: 10.07.2002 08:59:23
Kontaktdaten:

Re: Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Beitrag von miwie » 06.09.2020 18:59:57

Habe zwar keine Lösung/Antwort zu dem Problem (das mich allerdings ebenfalls sehr interessiert), würde aber raten, diese Frage eher in der dm-crypt ML zu stellen.
Alternativ erst mal ausprobieren, ob das mit --disable-keyring grundsätzlich funktionieren würde (von ggf. vorhandenen Nachteilen/Bedenken zunächst mal abgesehen).

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Beitrag von wanne » 07.09.2020 01:10:02

Ich verstehe nicht warum die Leute immer so absurd komplizierte Konstrukte bauen wollen um Passwortlose eingaben zu ermöglichen.
Leg halt ein Keyfile auf die verschlüsselte Platte und du hast keine Probleme mehr. Wenn du die volle 256 sicherheit ausnutzen willst kostet dich das 32 Byte. Hundert mal zuverlässiger und sicherer als irgend welche kompliziertlösungen.

Einfafch eine Datei mit zufälligem Inhalt, die nur für root lesbar ist auf die beiden Rechner kopieren und fertig.
Hier das Beispiel: Die Datei /etc/hdpw
Die passende crypttab:

Code: Alles auswählen

externhdd  UUID=12345678-9012-1234-1234-123456789012 /etc/hdpw luks,nofail
Ne zufällige Datei kannst du dir damit erzeugen:

Code: Alles auswählen

install -m 600 /dev/null /etc/hdpw
head -c 32 /dev/urandom > /etc/hdpw
Die musst du dann halt auf den 2. Rechner kopieren und fertig.

Edit: Ich hatte da fälschlicherweise fstab stehen. Das sollte, wie Tintom zurecht anmerkte, crypttab heißen.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Beitrag von Tintom » 07.09.2020 11:04:18

wanne hat geschrieben: ↑ zum Beitrag ↑
07.09.2020 01:10:02
Die passende fsttab:

Code: Alles auswählen

externhdd  UUID=12345678-9012-1234-1234-123456789012 /etc/hdpw luks,nofail
Kleine Anmerkung: Das sieht nach einem Beispiel für /etc/crypttab aus.

Sonst hat wanne recht. Das Problem mit den keyscripts ist, dass systemd und Debian da inkomaptibel zueinander sind, die Entschlüsselung mittels keyfile ist da wesentlich entspannter.

keep3r
Beiträge: 5
Registriert: 28.08.2020 18:59:10

Re: Schlüssel ableiten von LUKS2 Parition (für externe HDD)

Beitrag von keep3r » 09.09.2020 19:35:19

Hallo zusammen, die Lösung mit dem keyfile hatte ich auch - als "Plan B" - auf dem Schirm. Mir war aber nicht klar, dass systemd da so die Inkompatibilitäten rein bringt. Dann wird's wohl das keyfile. Danke euch für eure Antworten :-)

Antworten