LUKS (Linux Unified Key Setup) ist ein Standard für die Festplattenverschlüsselung unter Linux, der in Verbindung mit dem dm-crypt-Subsystem verwendet wird. Es ermöglicht die Verschlüsselung von Festplattenpartitionen und schützt so die darauf gespeicherten Daten vor unberechtigtem Zugriff. LUKS speichert alle notwendigen Metadaten in den verschlüsselten Partitionen selbst, was die Verwaltung der Verschlüsselungsschlüssel vereinfacht.
Um den LUKS-Schlüssel zu ändern, wird das LUKS-Verwaltungsprogramm cryptsetup verwendet. Wenn cryptsetup noch nicht auf Ihrem System installiert ist, können Sie es mit dem folgenden Kommando installieren:
$ sudo apt install cryptsetupZunächst muss der Gerätename der verschlüsselten Partition ermittelt werden. Dies kann mit dem Befehl lsblk herausgefunden werden. Die verschlüsselte Partition hat normalerweise den Typ crypto_LUKS:
$ sudo blkid | awk -F':' '/crypto_LUKS/{ print $1 }'
/dev/nvme0n1p3Verwenden Sie den so ermittelten Gerätenamen in den weiteren Kommandos.
LUKS ermöglicht es, mehrere Schlüssel für den Zugriff auf eine verschlüsselte Partition zu verwenden. Jeder dieser Schlüssel wird in einem sogenannten Slot gespeichert. Jeder Slot kann einen eigenen Verschlüsselungsschlüssel (Passwort) enthalten. Die Schlüssel sind voneinander unabhängig. Wenn ein Schlüssel in einem Slot geändert oder gelöscht wird, bleiben die anderen Schlüssel in den anderen Slots unverändert. LUKS unterstützt typischerweise bis zu 8 verschiedene Slots (Slot 0 bis Slot 7):
$ sudo cryptsetup luksDump /dev/nvme0n1p3 | grep luks2
0: luks2LUKS2 ist die zweite Version des Linux Unified Key Setup (LUKS). LUKS2 wurde eingeführt, um einige Einschränkungen der ursprünglichen LUKS-Version (jetzt LUKS1) zu beheben und neue Funktionen sowie Verbesserungen in Bezug auf Sicherheit und Flexibilität zu bieten.
Um einen Schlüssel zu ändern, zu löschen oder hinzuzufügen, müssen Sie ein bestehendes Passwort kennen. Verwenden Sie den folgenden Befehl, um einen Schlüssel hinzuzufügen.
$ sudo cryptsetup luksAddKey /dev/nvme0n1p3
Enter any existing passphrase:
Enter new passphrase for key slot:
Verify passphrase:Mit dem Parameter luksChangeKey können Sie einen bestehenden Schlüssel ändern. Geben Sie dazu einfach das Passwort des zu ändernden Schlüssels ein. Es empfiehlt sich jedoch, zunächst einen neuen Schlüssel hinzuzufügen, das System neu zu starten, um zu testen, ob der neue Schlüssel funktioniert, und dann den alten Schlüssel zu löschen.
Jetzt wird ein zweiter Slot mit einem Schlüssel belegt:
$ sudo cryptsetup luksDump /dev/nvme0n1p3 | grep luks2
0: luks2
1: luks2Sie können jetzt den nicht mehr benötigten Schlüssel löschen, in dem Sie folgendes Kommando ausführen und das Passwort des zu löschenden Schlüssels verwenden:
$ sudo cryptsetup luksRemoveKey /dev/nvme0n1p3
Enter passphrase to be deleted:Es gibt auch ein Kommando, mit dem Sie testen können, ob ein bestehendes Passwort für eine LUKS-verschlüsselte Partition korrekt ist, ohne das Passwort zu ändern oder die Partition zu entsperren:
$ sudo cryptsetup luksOpen --test-passphrase /dev/nvme0n1p3
Enter passphrase for /dev/nvme0n1p3:All done...
