Automatische Datenver- und entschlüsselung mit Clevis und Tang

Geheimes weitergesagt

Die Verschlüsselung von Festplattenpartitionen bei der Installation eines Betriebssystems ist heute Standard. Beim Booten des Rechners ist dann eine entsprechende Passphrase zum Entsperren der Festplatte einzugeben. Der Open-Source-Tipp in diesem Monat schaut sich an, wie sich dieser Vorgang automatisieren und an eine Policy binden lässt.
Flash-Speicher wird zunehmend günstiger und hält ungebremst Einzug in Clients wie Server. In der Mai-Ausgabe widmet sich IT-Administrator deshalb dem ... (mehr)

Zur Verschlüsselung ganzer Festplatten kommt unter Linux meistens der Device-Mapper mit dem dm-crypt-Target [1] und der Erweiterung LUKS [2] zum Einsatz. Beide Komponenten können problemlos mit jeder Art von blockorientierten Geräten umgehen. Somit spielt es keine Rolle, ob das zu verschlüsselnde Gerät eine Festplatte, ein LVM-Volume oder ein USB-Stick ist. Das Linux Unified Key Setup (LUKS) verwendet zur Verschlüsselung der Daten üblicherweise einen 256 Bit starken AES-Schlüssel, der mit einer Passphrase geschützt ist. Bei Bedarf lassen sich mehrere dieser Passphrases in den LUKS-Metadaten hinterlegen, die den Zugriff auf den Schlüssel ermöglichen, mit dem sich die Daten wieder decodieren lassen.

Wieviele dieser Schlüssel tatsächlich für ein Gerät existieren, zeigt der Aufruf von »cryptsetup luksDump LUKS-Gerät« an. Neue Schlüssel fügt der Aufruf »cryptsetup luksAddKey LUKS-Gerät« hinzu. Jeder Schlüssel wird dabei in einem eigenen Key-Slot abgelegt, von denen es insgesamt acht Stück gibt.

Umständlich ist dabei, dass der Anwender die Passphrases manuell eingeben muss. Ist beispielsweise das Root-Volume eines Rechners verschlüsselt, startet das System nicht, bis eine der zuvor definierten Passphrases eingegeben wurde. In diesem Artikel geht es darum, diesen Vorgang zu automatisieren.

Secrets verwalten

Zum Speichern und Verwalten von Secrets jeder Art kommen heutzutage meistens sogenannte Vaults zum Einsatz, die in erster Linie als Key-Escrows dienen. Sollte also einmal ein Secret verloren gehen, lässt es sich über einen Escrow-Service wiederherstellen. Die beiden Begriffe Vault und Key-Escrow sind dabei lediglich moderne Bezeichnungen für einen Datenspeicher, der besonders sensible Daten wie Passwörter, Zertifikate oder Token speichert. Für den Zugriff auf einen solchen Service steht in den meisten Fällen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019