Privacy-Handbuch
Die Passphrase ist der schwächste Punkt bei der Verwendung moderner Verfahren zur Verschlüsselung von Datenträgern, insbesondere wenn man im täglichen Gebrauch einfach zu merkende Passphrasen geringer Komplexität bevorzugt.
Im folgenden werden einige Möglichkeiten vorgestellt, die Sicherheit der Verschlüsselung durch Verwendung von Hardware Security Token (Nitrokey, Yubikey u.ä.) zu verbessern.
Bei allen Varianten ist folgendes Grundkonzept empfehlenswert:
Es wird ein verschlüsselter Container erstellt (Festplattenpartition, USB-Stick, Containerdatei). Dabei wird eine echt knackige und hochkomplexe Passphrase verwendet, die bei einem Brute-Force Angriff von hochpotenten Angreifern mehrere Jahrezehnte standhalten würde.
Diese Passphrase benötigt man zum Hinzufügen von Hardware Token oder zum Entfernen von verlorenen Token. Sie kann als Backup zum Öffnen des Containers dienen, wenn das/die HW Token verloren gehen und könnte off site in einem Tresor hinterlegt werden.
Wenn man der eigenen Kreativität bei der Suche nach einer Passphrase nicht vertraut, kann man einen automatisch generierten, unknackbaren Recovery-Key ausrollen lassen:
> sudo systemd-cryptenroll --recovery-key <device>
Please enter current passphrase for disk <device> ******************
A secret recovery key has been generated for this volume:
gbdncrvt-cfhkkghh-vfibidfe-hdhhidjk-jbbjcttb-ukfrglic-jkicnirg-tbtktcgh
Please save this secret recovery key at a secure location.Danach kann man die beim Erstellen des LUKS Containers gewählte Passphrase löschen:
sudo cryptsetup luksKillSlot <device> 0- Dann kann man ein oder mehrere Keyslots von LUKS mit Hardware Token vorbereiten und in der täglichen Arbeit nutzen. (Zur Unterstützung sind evtl. ein paar kleine Scripte hilfreich.)