debianforum.de

Verfasst: **31.03.2025 14:09:56**

Hallo,

habe ein USB-HDD mit Debian 11, System und Swap in einer luks-vershlüsselten Partition benutzt (gem 22.18 c't Anleitung).
Neuer Notebook (Acer swift 3) hat UEFI mit secure boot, was mich gezwungen hat auf einen secured Grub umzusteigen.
Über chroot/grub-install und install/update grub habe ich es auch installiert.
Problem: konnte mich beim Grub-start an der vorhandenen luks-vershlüsselten Partition mit bisherigem Passwort (Groß/Kleinschreibung u. Sonderzeichen) nicht mehr anmelden.
Daher habe ich dann Debian 12 neu installert, jedoch ohne Erfolg bei der Grub-Anmeldung. Dann noch zwei neue luks Passwörter erstellt: 1x für US Keyboart und 1x trivial mit nur Zahlen, genauso ohne Erfolg.

Bei dem Ganzen kann ich mich mit jedem der drei Pwd jederzeit vom Live-System (Mint) die luks-vershlüsselte Partition öffnen und die auch rw mounten:

Code: Alles auswählen

mint@mint:~$ sudo blkid /dev/sdc4
/dev/sdc4: UUID="4eae0bea-940d-42cf-8777-8e1184f29d47" TYPE="crypto_LUKS" PARTLABEL="root" PARTUUID="8288fffe-a91f-46df-8586-e713a55f30ee"

Code: Alles auswählen

sudo cryptsetup luksOpen /dev/disk/by-uuid/4eae0bea-940d-42cf-8777-8e1184f29d47 sdc4_crypt

Code: Alles auswählen

mint@mint:~$ sudo mount /dev/mapper/lvm--crypt-root--crypt /mnt>

Die grub.cfg:

Code: Alles auswählen

cryptomount -u 4eae0bea940d42cf87778e1184f29d47
search.fs_uuid 7bf1c34c-23dd-4116-9000-8bbf2a45da0f root lvmid/JB5TKF-1i1g-k4Sw-cIgT-kyAa-nydv-wALrgM/VNCwOB-VNmd-JGre-PQJP-e52O-hCYE-tDj7B8 
set prefix=($root)'/boot/grub'
configfile $prefix/grub.cfg

Was auffälig ist, meldet Grub bei pwd Anfrage folgendes:

Code: Alles auswählen

Enter Passphrase for hdd0,gpt4 (4eae0bea940d42cf87778e1184f29d47)
error: invalid passphrase.
error: no such cryptodisk found.

(hdd0,gpt4) ist eine Windows-partition, die UUID ist ohne bindestriche (mit geht sowieso nicht) und gehört eindeutig zu /dev/sdc4 (hdd2,gpt4). Hier noch lsblk nach chroot:

Code: Alles auswählen

root@mint:/# lsblk
NAME                         MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
loop0                          7:0    0   2.4G  1 loop  
sda                            8:0    0 931.5G  0 disk  
└─sda1                         8:1    0 931.5G  0 part  
sdb                            8:16   0 931.5G  0 disk  
├─sdb1                         8:17   0   100M  0 part  
├─sdb2                         8:18   0    16M  0 part  
├─sdb3                         8:19   0 930.8G  0 part  
└─sdb4                         8:20   0   658M  0 part  
sdc                            8:32   0 931.5G  0 disk  
├─sdc1                         8:33   0     8M  0 part  
├─sdc2                         8:34   0   940M  0 part  /boot/efi
├─sdc3                         8:35   0    47G  0 part  
├─sdc4                         8:36   0  52.2G  0 part  
│ └─sdc4_crypt               252:0    0  52.2G  0 crypt 
│   ├─lvm--crypt-root--crypt 252:1    0  44.7G  0 lvm   /
│   └─lvm--crypt-swap--crypt 252:2    0   7.4G  0 lvm   
└─sdc5                         8:37   0 831.4G  0 part  
sdd                            8:48   1  28.6G  0 disk  
├─sdd1                         8:49   1  23.6G  0 part  
└─sdd2                         8:50   1     5G  0 part

Im Grub shell findet search.fs_uuid weder die UUID 4eae0bea-940d-42cf-8777-8e1184f29d47 noch die 4eae0bea940d42cf87778e1184f29d47.

Ansonsten konnte mich gestern unerwarted und einmalig im Debian12 mit vollem Pwd anmelden, heute wieder mit keinem.
Anm. Das triviale Pwd funktioniert ebenfalls nicht, auch nicht mit testweise gedrückten Umschalttaste. Ein Pwd mit pbkdf2 hat auch nicht geholfen.

Ist was bein Debian 12 in Zusammnhang mit LMV/luks was bekannt? Wie kann ich es bereinigen?

Verfasst: **31.03.2025 15:41:29**

ich würd erst mal schauen ob ich das secure boot nicht loswerden kann. bei meinem reiselaptop acer aspire musste ich ein passwort vergeben damit ich an die einstellungen rankam.

nachtrag: hast du ein update-grub und ein update-initramfs -u -k all gemacht?

Verfasst: **31.03.2025 19:24:51**

Secure boot scheint mir hier nicht das Problem zu sein.

update-initramfs -u -k all habe ich gemacht.

Zufällig kam ich aber an die Lösung: nochmals ein trivial-Passwort (nur Zahlen) und mit pbkdf2 - dann funktioniert die Entschlüsselung.

Wieso ein besseres Pwd mit Buchstaben/Zahlen/Sonderzeichen und pbkdf2 Verschlüsselung das nicht tut kann ich nicht erklären.

Laut andere Foren ist der mit debian 12 ausgelieferter Grub mit der neuen (luks ver.2) argon2id Verschlüsselung nicht kompatibel.

Ich frage mich, wieso stellt Debian diese als default ohne vor inkompatiblem Grub zu warnen?

Möglicherweise ohne Grub funktioniert es.

Verfasst: **31.03.2025 21:00:41**

dein problem hängt schon an secure boot, weil dann der grub auch verschlüsselt werden soll. und grub kann leider nicht mit luks mithalten, dem fehlen features. hab damit rumgebastelt und das verworfen.

ich fahr nach wie vor den klassischen setup mit unverschlüsselter /boot-partition. und deswegen konsequent ohne sb.

Verfasst: **01.04.2025 11:51:06**

Ich wollte auf die durch sb gestiegene Sicherheit nicht unbedingt verzichten.
Bei mir ist die efi (/dev/sdc2 s.o.) mit dem debian cfg unverschlüsselt und scheitert bereits dort an einer argon2id Entschlüsselung des luks pwd.

Das hätte Debian besser machen können.

Danke für den Informationsaustausch.

Verfasst: **01.04.2025 13:39:49**

debian kann nichts dafür. die müssen den grub so nehmen wie er von upstream her kommt.

arch geht da irgendwie einen anderen weg, da ist dieses schlüsselableitungsverfahren kein problem.

debianforum.de

Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Re: Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Re: Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Re: Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Re: Debian 12 mit luks/LVM pass im Grub nicht akzeptiert

Re: Debian 12 mit luks/LVM pass im Grub nicht akzeptiert