Inhaltsverzeichnis

Schlüsselableitungsfunktion einer Linux-Festplattenverschlüsselung überprüfen und aktualisieren

Leider kann auf diese Einstellungen nicht über die regulären Systemeinstellungen zugegriffen werden, sondern es müssen einige Befehle über das Terminal eingegeben werden. Diese sind von Gerät zu Gerät unterschiedlich, also nicht einfach copy-pasten sondern aufmerksam durchlesen.

1. Aktuelle Einstellungen überprüfen

1.a Identifikation des verschlüsselten Containers erhalten

lsblk

Der Output ist eine Liste von Partitionen die aktuell angeschlossen sind. Wichtig ist die Partition vom Typ crypt: Das ist der verschlüsselte Container und könnte z.B. sda3_crypt heißen. Für die eigentliche Partition müssen wir nun das _crypt vom Namen abziehen. In diesem Beispiel wäre das sda3. Falls mehrere verschlüsselte Container angeschlossen sind, z.B. ein verschlüsselter USB-Stick, würden diese auch hier gelistet werden.

1.b Version des verschlüsselten Containers erhalten

Für diesen Befehl PARTITION durch den Namen ersetzen, der im letzten Schritt erhalten wurde. 

sudo cryptsetup luksDump /dev/PARTITION | grep Version

Wenn der Output für diesen Befehl Version 2 ist, ist eine Aktualisierung auf einen modernen Algorithmus direkt möglich. Bei Version 1 muss erst die Verschlüsselungs-Version aktualisiert werden, bevor der Algorithmus aktualisiert werden kann.

1.b Schlüsselableitungs-Algorithmus des verschlüsselten Containers erhalten

Den aktuellen Algorithmus erhält man mit folgendem Befehl: 

sudo cryptsetup luksDump /dev/PARTITION | grep PBKDF

Wenn der Output für diesen Befehl pbfkd2 ist, ist es ratsam den Algorithmus zu aktualisieren. argon2d, argon2i gelten als wesentlich sicherer. argon2id (Kombination der beiden) gilt als sicherste Variante.

2. Einstellungen aktualisieren

2.a Backup der Einstellungen machen

Der folgende Befehl speichert einen Backup der Verschlüsselungseinstellungen in die Datei headerbackup in deinem persönlichen Ordner. Diesen zur Sicherheit auf einem USB-Stick speichern (und sicher aufbewahren) 

sudo cryptsetup luksHeaderBackup /dev/PARTITION --header-backup-file ~/headerbackup

Falls was schiefgeht, lässt sich der Header mit folgendem Befehl wiederherstellen. 

sudo cryptsetup luksHeaderRestore /dev/PARTITION --header-backup-file ~/headerbackup

Dafür muss die Datei headerbackup im persönlichen Ordner liegen oder man muss den letzten Teil anpassen, z.B. zu ~/Dokumente/headerbackup etc.

2.b LUKS-Version aktualisieren

Falls im ersten Schritt die Version 1 zurückgegeben wurde, muss man erstmal die LUKS-Version upgraden.

Dieser Schritt lässt sich für die Systemverschlüsselung leider nur von einer Live-CD aus machen, weil es nicht möglich ist die LUKS-Version eines Datenträgers zu verändern auf dem das Betriebssystem läuft wurde. Bei einem externen Datenträger ist es kein Problem, ggf. muss der Datenträger über den Datei-Manager „ausgehangen“ werden. Bei einem Tails-Stick kann man die Konvertierung einfach von einem anderen Tails-System aus machen. 
sudo cryptsetup convert /dev/PARTITION --type luks2

2.c Schlüsselableitungs-Algorithmus aktualisieren

sudo cryptsetup luksConvertKey /dev/PARTITION --pbkdf argon2id