[gelöst] cryptsetup - fallback zu Passphrase

[McAldo]

Nach diesem hier https://bugs.debian.org/cgi-bin/bugrepo ... bug=502598 sollte es möglich sein, mit Keyfile zu entschlüsseln und wenn das nicht da ist (USB-Stick nicht angesteckt) auf Passphrase-Eingabe zu wechseln. Nur klappt es leider nicht. Wie muss eine entsprechende Zeile in /etc/crypttab aussehen? Im Moment ist es so:

Code: Alles auswählen

sda6_crypt UUID=41b2f2c4-789f-4068-8ed4-910222835ce2 /dev/disk/by-uuid/C5E1-C366:/cryptkeyfile.txt:10 luks,keyscript=/lib/cryptsetup/scripts/passdev

Die "10" in der Zeile würde ich als den Timeout interpretieren, nach dem dann eine Passphrase gefordert wird. Das klappt aber nicht. Wie ist es richtig?

[TomL]

Ich weiss nicht, ob meine einige Zeit zurückliegenden Tests dazu heute noch der ultimativen Wahrheit entsprechen... aber ich habe damals beim Thema Keyfile und Passphrase mit einigen Experimenten versucht die Funktionsweise herauszufinden und zu bestätigen und bin dann darüber zu eigenen Schlüssen gekommen. Ich wollte halt meine Daten nicht allein einem Key anvertrauen und immer noch einen 2. Weg "rein" haben.

Also, ich bin damals zu dem Fazit gekommen, dass die Keyslots Typgebunden sind. Ich konnte also bei einem Keyslot-Typ "Keyfile" nicht mit Eingabe des gleichen Keys als Passphrase entschlüsseln. Ebensowenig konnte ich die Passphrase als "Keyfile" übergeben, weil eben der Slot mit diesem Key als Passphrase definiert war.

Um überhaupt irgendwelche Änderungen vorzunehmen, Key-Slots hinzufügen, zu löschen oder Keys verändern... was auch immer, musste immer EIN aktiver Keyslot verfügbar sein, entweder mit Keyfile oder mit Passphrase. Egal welcher Keyslot, es musste nur einer sein, der den passenden typgebundenen Key akzeptiert.... dann war alles erlaubt.

Was ich nun sagen will, wenn Du nur einen Keyfile-Slot hast, vermute ich, das wird mit einer Passphrase nicht klappen.

[McAldo]

Ich habe einen Slot mit Passphrase und einen mit Keyfile. Es ist also beides möglich:

Code: Alles auswählen

> cryptsetup luksDump /dev/sda6
LUKS header information for /dev/sda6

Version:       	1
Cipher name:   	aes
Cipher mode:   	xts-plain64
Hash spec:     	sha256
Payload offset:	4096
MK bits:       	512
MK digest:     	e2 60 c1 8d 05 c3 8d b4 bd ec 43 f3 d5 f2 19 89 39 e9 fa 82 
MK salt:       	e4 37 d7 96 d1 d1 b2 c9 d0 2c d8 ca 53 ba 34 e8 
               	fd 4f 4f 1a 79 20 01 18 0b d5 bb 6b 91 a2 b8 71 
MK iterations: 	183750
UUID:          	41b2f2c4-789f-4068-8ed4-910222835ce2

Key Slot 0: ENABLED
	Iterations:         	1471263
	Salt:               	81 4a c8 88 dc 1e 27 08 f1 8a 12 5a 19 6d d1 d1 
	                      	fe 92 a6 2e 2b 46 83 90 b8 83 15 34 00 e0 01 84 
	Key material offset:	8
	AF stripes:            	4000
Key Slot 1: ENABLED
	Iterations:         	1488371
	Salt:               	dd 8f 79 2a de b1 1b 87 2a f6 68 a3 30 ed d7 4f 
	                      	3a 6d 33 43 39 24 5e 63 9f 0d c6 67 50 b0 2d 40 
	Key material offset:	512
	AF stripes:            	4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Ziel ist, dass wenn der USB-Stick nicht vorhanden ist, ein fallback auf die Passphrase-Eingabe erfolgt. Offenbar soll das sogar funktionieren mit den Scripten die mitgeliefert werden. Eventuell ist die Konfiguration in /etc/crypttab falsch.

Nach der Anpassung in /etc/crypttab mit ":10" habe ich update-initramfs -u und update-grub aufgerufen. Danach reboot ohne Stick und entsprechender Fehlermeldung. (3 Versuche auf den Stick zuzugreifen, danach nen sleep für 60 Sekunden)

[TomL]

Wie muss eine entsprechende Zeile in /etc/crypttab aussehen?

Das ist etwas, was ich noch nie gebraucht habe. Ich vermute mal, man braucht das bei verschlüsselten Betriebssystem-Partitionen... ... ich habe leider nur verschlüsselte Container und Daten-Partitionen. Für beides braucht man keine crypttab, sondern ich öffne sie ganz einfach via udev + systemd-service-unit... egal, ob hot-plug oder system-boot ... oder auch mal On-The-Fly via Script.Bei den Reise-Systemen, auf denen ein Keyfile via USB-Stick bereitgestellt wird, wird der Stick z.B. nach ~/.keys gemountet und von dort verwendet.... isser nicht da...?... Failed! Aber das ist dann so gewollt.

Fragt die Passphrase ab:
cryptsetup luksOpen /dev/sdb1 Crypt_HD

Verwendet ein Keyfile:
cryptsetup luksOpen /dev/sdb1 Crypt_HD --key-file /$path/.CryptCredentials

Sorry, mehr kann ich dazu leider nicht beitragen.

[Tintom]

Schau mal auf das Alter des Bugreports
Ich hatte so ein Skript lange am laufen, aber seit systemd Standard ist funktioniert es nicht mehr. Der USB-Stick wird einfach ignoriert.

[dirk11]

Wie ist es richtig?

Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.

Ich bin nach dieser hier vorgegangen, und damit sieht die Zeile bei mir wie folgt aus:

Code: Alles auswählen

sda2_crypt UUID=1111dddd-ff22-4aa4-aa88-05d883f28656 none luks,tries=3,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh

Wird kein Keyfile gefunden, gebe ich die Passphrase von Hand ein.

[Tintom]

Und du hast systemd am Laufen, @dirk11?
Dann verstehe ich nicht, wieso es bei mir nicht läuft..

[dirk11]

Nein, natürlich nicht. Das war aber auch an keiner Stelle die Frage des TE. Das ist übrigens u.a. einer der Gründe, warum ich als Startsystem immer noch sysvinit nutze.

[McAldo]

Wie ist es richtig?

Die Frage kann ich Dir nicht beantworten, da Du ja verschweigst, nach welcher Anleitung Du vorgegangen bist.

Ich habe mehrere Anleitungen gelesen, kann leider nicht mehr genau sagen welche alles.

[McAldo]

Jetzt habe ich es mal nach dieser Anleitung versucht:
- https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
- https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick

Rechner startet nicht mehr. Diese Meldung kommt:

Code: Alles auswählen

Unable to stat /dev/disk/by-uuid/C6E0-C568
cryptsetup (sda5_crypt): cryptsetup failes, bad passwort or options?
cryptsetup (sda5_crypt):  maximum number of tries exceeded
cryptsetup: going to sleep for 60 seconds...

Sieht aus, als würde initram dazwischen funken. Habe die Einträge in der /etc/crypttab so gemacht, wie im Link. Die im Link genannte Datei (/var/run/....) war auch entsprechend vorhanden. Offenbar mag Debian/Stretch doch nicht so sehr mit systemd umgehen an der Stelle.

[McAldo]

Wenn ich dem Typ aus diesem Link (https://www.technikamateur.de/server/lu ... chluesseln) folge und

Code: Alles auswählen

update-initramfs -u -k all

aufrufe, dann kommen diese Meldungen:

Code: Alles auswählen

$ update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
cryptsetup: WARNING: root target sda5_crypt uses a key file, skipped
cryptsetup: WARNING: sda5_crypt's key file /dev/sde is not on an encrypted root FS, skipped

Ist tatsächlich aus Debian 9 raus, dass ein keyfile genutzt werden kann?

[rhHeini]

Schau mal in diesen Thread, wo ich mit Hilfe von rendegast über systemd und automatische Entschlüsselung promoviert habe. Ist aber schon älter, geht um Jessie.
viewtopic.php?f=37&t=164245
Damals habe ich das für ein Device mit Key auf USB-Stick hinbekommen, und bei fehlendem Stick kam die Passwortabfrage.

Rolf

[Tintom]

Danke für den Hinweis!

[McAldo]

So, als Nachtrag mal noch ...

mit der Anleitung bei Ubuntu-Users funktioniert es (auch bei Debian/Stretch). Man sollte dann aber nur nach dieser vorgehen und alles andere ignorieren. Der Schlüssel ist, mit keyscript zu arbeiten und NICHT mit keyfile.

https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/