Inhaltsverzeichnis
Schlüsselableitungsfunktion einer Linux-Festplattenverschlüsselung überprüfen und aktualisieren
Leider kann auf diese Einstellungen nicht über die regulären Systemeinstellungen zugegriffen werden, sondern es müssen einige Befehle über das Terminal eingegeben werden. Diese sind von Gerät zu Gerät unterschiedlich, also nicht einfach copy-pasten sondern aufmerksam durchlesen.
1. Aktuelle Einstellungen überprüfen
1.a Identifikation des verschlüsselten Containers erhalten
lsblk
Der Output ist eine Liste von Partitionen die aktuell angeschlossen sind. Wichtig ist die Partition vom Typ crypt
: Das ist der verschlüsselte Container und könnte z.B. sda3_crypt
heißen. Für die eigentliche Partition müssen wir nun das _crypt
vom Namen abziehen. In diesem Beispiel wäre das sda3
. Falls mehrere verschlüsselte Container angeschlossen sind, z.B. ein verschlüsselter USB-Stick, würden diese auch hier gelistet werden.
1.b Version des verschlüsselten Containers erhalten
Für diesen Befehl PARTITION
durch den Namen ersetzen, der im letzten Schritt erhalten wurde.
sudo cryptsetup luksDump /dev/PARTITION | grep Version
Wenn der Output für diesen Befehl Version 2 ist, ist eine Aktualisierung auf einen modernen Algorithmus direkt möglich. Bei Version 1 muss erst die Verschlüsselungs-Version aktualisiert werden, bevor der Algorithmus aktualisiert werden kann.
1.b Schlüsselableitungs-Algorithmus des verschlüsselten Containers erhalten
Den aktuellen Algorithmus erhält man mit folgendem Befehl:
sudo cryptsetup luksDump /dev/PARTITION | grep PBKDF
Wenn der Output für diesen Befehl pbfkd2
ist, ist es ratsam den Algorithmus zu aktualisieren. argon2d
, argon2i
gelten als wesentlich sicherer. argon2id (Kombination der beiden) gilt als sicherste Variante.
2. Einstellungen aktualisieren
2.a Backup der Einstellungen machen
Der folgende Befehl speichert einen Backup der Verschlüsselungseinstellungen in die Datei headerbackup in deinem persönlichen Ordner. Diesen zur Sicherheit auf einem USB-Stick speichern (und sicher aufbewahren)
sudo cryptsetup luksHeaderBackup /dev/PARTITION --header-backup-file ~/headerbackup
Falls was schiefgeht, lässt sich der Header mit folgendem Befehl wiederherstellen.
sudo cryptsetup luksHeaderRestore /dev/PARTITION --header-backup-file ~/headerbackup
Dafür muss die Datei headerbackup im persönlichen Ordner liegen oder man muss den letzten Teil anpassen, z.B. zu ~/Dokumente/headerbackup etc.
2.b LUKS-Version aktualisieren
Falls im ersten Schritt die Version 1 zurückgegeben wurde, muss man erstmal die LUKS-Version upgraden.
sudo cryptsetup convert /dev/PARTITION --type luks2
2.c Schlüsselableitungs-Algorithmus aktualisieren
sudo cryptsetup luksConvertKey /dev/PARTITION --pbkdf argon2id