Automatische Datenver- und entschlüsselung mit Clevis und Tang

Zur Verschlüsselung ganzer Festplatten kommt unter Linux meistens der Device-Mapper mit dem dm-crypt-Target [1] und der Erweiterung LUKS [2] zum Einsatz. Beide Komponenten können problemlos mit jeder Art von blockorientierten Geräten umgehen. Somit spielt es keine Rolle, ob das zu verschlüsselnde Gerät eine Festplatte, ein LVM-Volume oder ein USB-Stick ist. Das Linux Unified Key Setup (LUKS) verwendet zur Verschlüsselung der Daten üblicherweise einen 256 Bit starken AES-Schlüssel, der mit einer Passphrase geschützt ist. Bei Bedarf lassen sich mehrere dieser Passphrases in den LUKS-Metadaten hinterlegen, die den Zugriff auf den Schlüssel ermöglichen, mit dem sich die Daten wieder decodieren lassen.

Wieviele dieser Schlüssel tatsächlich für ein Gerät existieren, zeigt der Aufruf von »cryptsetup luksDump LUKS-Gerät« an. Neue Schlüssel fügt der Aufruf »cryptsetup luksAddKey LUKS-Gerät«

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.