LUKS Verschlüsselung: Passwort ändern

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
Celica
Beiträge: 2155
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

LUKS Verschlüsselung: Passwort ändern

Beitrag von Celica » 31.05.2020 13:36:33

Hallo,

ich habe einen Laptop (ThinkPad T440) welches als LVM mit LUKS (AES) durch den Debian Installer seiner Zeit verschlüsselt wurde.
Jetzt fungiert das Laptop nicht mehr als Firmengerät und wird ausschließlich zu Hause genutzt.
Da nicht ausgeschlossen ist, dass das Gerät irgendwann wieder außerhalb (z.B. Schule) eingesetzt wird, möchte ich die Verschlüsselung beibehalten, aber ein einfacheres Passwort setzen.

Seiner Zeit hatte ich in diesem Beitrag das Thema Verschlüsselung diskutiert: viewtopic.php?f=12&t=167004

Nun möchte ich einfach das Passwort ändern, aber ich bin mir nicht mehr ganz sicher was ich am Ende wirklich wie verschlüsselt habe.
Ich gehe mal davon aus, dass so die Verschlüsselung auf dem Gerät ist:
"/boot" unverschlüsselt, ext4, 300MB
"/" + "/home" + "SWAP" als LVM mit LUKS (AES) durch den Debian Installer.
Wie kann ich herausfinden welche Partitionen ich dann tatsächlich verschlüsselt habe und wir kann ich das Passwort ändern?
Oberstes Gebot dabei: Ich darf mir den Laptop nicht dabei zerschießen (Backup ist obligatorisch :THX:)!

Ich habe hier etwas dazu gefunden: https://legacy.thomas-leister.de/luks-v ... t-aendern/

In dem Fall müsste ich das für jede Partition machen die ich verschlüsselt habe?
Danke !

Ciao

Celica

rhHeini
Beiträge: 2724
Registriert: 20.04.2006 20:44:10

Re: LUKS Verschlüsselung: Passwort ändern

Beitrag von rhHeini » 31.05.2020 16:16:14

Schaff Dir einen Überblick was wie partitioniert ist mit:
1.) gparted (graphisch)
2,) blkid
3.) lsblk

Vor allem der letzte sollte schön darstellen wie was zusammenhängt.

Dann schaust Du wie viele Slots belegt sind:
cryptsetup luksDump /dev/sdxy

Der Leister-Link zeigt Wege auf wie man einen zusätzlichen Key hinzufügt. Mach Dich halt mit den Manpages oder im Internet schlau wie luks mit cryptsetup funktioniert. Du kannst dann auch gezielt einzelne Slots wieder freigeben wenn Du willst.

Gruß, Rolf

bitschubser
Beiträge: 67
Registriert: 14.02.2011 09:45:53

Re: LUKS Verschlüsselung: Passwort ändern

Beitrag von bitschubser » 31.05.2020 16:30:30

Hi
Wie kann ich herausfinden welche Partitionen ich dann tatsächlich verschlüsselt habe
mit

Code: Alles auswählen

lsblk
und wenn du dir dann die Ausgabe anschaust, zum Beispiel diese:

Code: Alles auswählen

NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                            8:0    0  59.6G  0 disk  
└─sda1                         8:1    0  59.6G  0 part  
  └─md0                        9:0    0  59.6G  0 raid1 
    └─luksSSD1               253:9    0  59.6G  0 crypt 
      ├─SSD-home             253:0    0    36G  0 lvm   /home
      └─SSD-root             253:10   0    16G  0 lvm   /
ist zu erkennen das das CRYPT Device vor dem LVM ist, sodass nur eine Passwort änderung nötig ist.

Oberstes Gebot dabei: Ich darf mir den Laptop nicht dabei zerschießen
Dann ändere dein Passwort nicht, sondern füge ein neues hinzu, den Luks Crypt hast ja insgesamt 8 Slots zu Verfügung.
sudo cryptsetup luksAddKey /dev/sdXY
Wenn dann alles geklapst hat, kannst du das alte später löschen.

MfG

wanne
Moderator
Beiträge: 7581
Registriert: 24.05.2010 12:39:42

Re: LUKS Verschlüsselung: Passwort ändern

Beitrag von wanne » 01.06.2020 05:22:06

Code: Alles auswählen

cryptsetup luksAddKey /dev/mapper/luksSSD1
Danach kannst du den Laptop entweder mit dem alten oder dem neuen Passwort starten.

Prinzipiell kann man die alte Passphrase dauch löschen

Code: Alles auswählen

cryptsetup luksKillSlot  /dev/mapper/luksSSD1 X
Wobei X 1-8 sein kann und du damit ausprobieren kannst, welche Passphrase auf welchem Slot liegt.

Code: Alles auswählen

cryptsetup --key-slot X --test-passphrase luksOpen /dev/mapper/luksSSD1
Dir sollte allerdings klar sein, dass jeder der die alte Passphrase kennt und ein älteres Backup von deinem Header hat die Platte weiter öffnen kann. (Insbesondere bei SSDs ist es nicht unwahrscheinlich, dass sich immer wieder ältere Versionen vom Header finden lassen.)
Kurz: Das PW ist nicht wirklich sicher entfernt.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Celica
Beiträge: 2155
Registriert: 16.08.2003 13:37:15
Wohnort: Schleswig Holstein

Re: LUKS Verschlüsselung: Passwort ändern

Beitrag von Celica » 01.06.2020 09:09:24

Danke.
Ich werde mir das zeitnah anschauen

Das Laptop war nie einer Gefahr von außen ausgesetzt und auch das PW ist nicht gefährdet.
Derzeit wird das Gerät nur im heimischen Umfeld von der Tochter eingesetzt die sich mit dem sichern en PW :D etwas schwer tut.
Das Gerät wird auch niergens Mut hin genommen.
Also ein vollkommen anderer Einsatz wie Ursprünglich.

Theoretisch wäre das sogar vertretbar das PW komplett zu löschen und keine Abfrage mehr zu haben.

Das wäre auch möglich habe ich verstanden.
Danke !

Ciao

Celica

wanne
Moderator
Beiträge: 7581
Registriert: 24.05.2010 12:39:42

Re: LUKS Verschlüsselung: Passwort ändern

Beitrag von wanne » 02.06.2020 00:00:34

Celica hat geschrieben: ↑ zum Beitrag ↑
01.06.2020 09:09:24
Das wäre auch möglich habe ich verstanden.
Nein! Wenn du das letzte Passwort löschst sind die Daten unzugänglich. Da kein Passwort mehr existiert, mit dem sie entschlüsselt werden könnten. (solange kein älteres Backup existiert.)
Ich finde das auch das Hauptfeature der Verschlüsselung: Du brauchst dich bei der entsorgung nicht ums Löschen kümmern.
Du kannst aber ein leeres oder enbuchstabiges Passwort setzen. Dann kommst du mit einem Tastendruck an derabfrage vorbei.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten