Automatische Datenver- und entschlüsselung mit Clevis und Tang

Zur Verschlüsselung ganzer Festplatten kommt unter Linux meistens der Device-Mapper mit dem dm-crypt-Target [1] und der Erweiterung LUKS [2] zum Einsatz. Beide Komponenten können problemlos mit jeder Art von blockorientierten Geräten umgehen. Somit spielt es keine Rolle, ob das zu verschlüsselnde Gerät eine Festplatte, ein LVM-Volume oder ein USB-Stick ist. Das Linux Unified Key Setup (LUKS) verwendet zur Verschlüsselung der Daten üblicherweise einen 256 Bit starken AES-Schlüssel, der mit einer Passphrase geschützt ist. Bei Bedarf lassen sich mehrere dieser Passphrases in den LUKS-Metadaten hinterlegen, die den Zugriff auf den Schlüssel ermöglichen, mit dem sich die Daten wieder decodieren lassen.

Wieviele dieser Schlüssel tatsächlich für ein Gerät existieren, zeigt der Aufruf von »cryptsetup luksDump LUKS-Gerät« an. Neue Schlüssel fügt der Aufruf »cryptsetup luksAddKey LUKS-Gerät« hinzu. Jeder Schlüssel wird dabei in einem eigenen Key-Slot abgelegt, von denen es insgesamt acht Stück gibt.

Umständlich ist dabei, dass der Anwender die Passphrases manuell eingeben muss. Ist beispielsweise das Root-Volume eines Rechners verschlüsselt, startet das System nicht, bis eine der zuvor definierten Passphrases eingegeben wurde. In diesem Artikel geht es darum, diesen Vorgang zu automatisieren.

Secrets verwalten

Zum Speichern und Verwalten von Secrets jeder Art kommen heutzutage meistens sogenannte Vaults zum Einsatz, die in erster Linie als Key-Escrows dienen. Sollte also einmal ein Secret verloren gehen, lässt es sich über einen Escrow-Service wiederherstellen. Die beiden Begriffe Vault und Key-Escrow sind dabei lediglich moderne Bezeichnungen für einen Datenspeicher, der besonders sensible Daten wie Passwörter, Zertifikate oder Token speichert. Für den Zugriff auf einen solchen Service steht in den meisten Fällen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.