Erster Schritt erfolgreich
Geschrieben von Ralph Troppmann am Montag, 11. März 2019 in Kryptographie, Projekte
Ein erster Erfolg hat sich eingestellt, die Vollverschlüsselung eines Linuxrechners konnte erfolgreich nachvollzogen werden.
Dabei hilft Ubuntu nur beschränkt: neuere Versionen bieten die Verschlüsselung bei der Installation nicht an, bei der getesteten Lubuntu 17.10 i386 (lag gerade im Schubber obendrauf und passt zu otto1 - einem alten Satellite A200, das hier zufällig in doppelter Ausführung rumlag) brach das mit dem Hinweis auf eine nicht verschlüsselte SWAP-Partition ab. Whatever, hat vielleicht was mit dem Boot-USB-Stick zu tun.
Aber das Ubuntu-Wiki hilft hier weiter: https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/
In Kurzform: vom Stick ins Live-Linux starten, dann manuell die Festplatte konfigurieren: eine kleine boot-Partition und den Rest per cryptsetup als LVM anlegen, / (root) anlegen und ein bisschen dran rumbasteln. Dann die Installation starten, die vorbereiteten Partitionen manuell entsprechend zuweisen und am Ende der Installation noch ein paar kleine Anpassungen und aufräumen. Nach dem Neustart erscheint dann tatsächlich die Abfrage nach dem Schlüssel.
Erstes Teilziel somit erreicht!
Nächster Schritt: tiefer mit luks etc. beschäftigen und dann das ganze so umbauen, dass der aktuelle Schlüssel richtig komplex gewählt wird und später nur noch für Notfälle dienen soll. Die eigentliche Anmeldung soll dann mit einem genauso komplexen Schlüssel erfolgen, der aber praktischerweise vom Yubikey kommen soll. Und damit der nicht der einzige Faktor bleibt, wird dieser mit einem relativ einfachen Schlüssel getriggert. Geht der Key mal 'verschütt', kommt man mit dem obigen Notfallschlüssel immer noch rein.
Aber heute nicht mehr, es läuft gerade "mein Mix der Woche" auf Spotify...