Einen Yubikey bei verschlüsselten Debian Festplatten verwenden

Ich möchte einen Rechner absichern der in einem Büro steht und bei dem ich sicher sein möchte das im Falle eines Einbruchs keine Daten offen auf den Festplatten liegen.

Der Ansatz ist jetzt Debian mit Festplattenverschlüsselung zu verwenden. Damit diese Verschlüsselung auch wirklich sicher ist soll eine möglichst lange und zufällige Passphrase verwendet werden.

Ausgangspunkt ist:

• ein Debian Rechner mit LVM Luks Verschlüsselung
• ein Yubikey
• ein weiterer Rechner auf dem die Personalizationssoftware läuft. ( In meinem Fall ein MAC )

Was genau ein Yubikey ist kann hier nachgelesen werden. Einfach gesprochen ist es eine Art USB Stick der für den Rechner wie eine Tastatur wirkt und der “auf Knopfdruck” zum einen sogenannte OneTimePasswörter und zum anderen ein statisches Kennwort ausgibt. Die Einmalkennwörter möchte ich später auch noch verwenden aber diesem Fall brauche ich das statische Kennwort da der Rechner zum Zeitpunkt des Bootens noch keine Internetverbindung hat da ja die Festplatte noch garnicht “freigeschaltet ist”.

Der Yubikey soll also eine wirklich lange und wirklich sichere Passphrase bekommen die zusammen mit einem leichter zu merkenden Kennwort für die Freigabe einer verschlüsselten Festplatte diesen soll.

Für die Konfiguration des Yubikeys gibt es eine Software die hier auf einem Mac läuft. Man steckt den Yubikey in einen USB Slot, startet die Anwendung, wählt “static password” und kann ein statisches langes Kennwort vergeben. Der Prozess ist recht einfach und in diesem Video beschrieben.

Wie empfohlen verwende auch ich ein “einfach zu merkendes Anfangskennwort” und dann den laaaannngen Zufallsstring. Auf diese Art kann man mit dem Key alleine auch nichts anfangen.

Der Debian Rechner ist mit verschlüsseltem LVM installiert und hat eine temporäre einfache Passphrase. Jetzt wollen wir dieser einfachen Passphrase erst einmal eine weitere Zeichenkette hinzufügen und dann die einfache Phrase wieder löschen.

Zum Hinzufügen der neuen Passphrase stecken wir den eingerichteten Yubikey in den USB Slot und tippen

cryptsetup luksAddKey /dev/sda5
 "die alte einfache Passphrase von der Installation" <enter>
 "EinEinfacheskurzesKennwort" + Drucken des Yubikeys
 "EinEinfacheskurzesKennwort" + Drucken des Yubikeys

Auf diese Weise bilden wir ein Kennwort das ich einfach zu merken ist verlängert um 38 wilde Zeichen.

Dann sicherheitshalber einmal booten und prüfen ob man sich mit der neuen Passphrase auch anmelden kann. Wenn das geklappt hat kann man das initiale Anfangskennwort löschen:

 cryptsetup luksRemoveKey /dev/sda5
 "die alte einfache Passphrase von der Installation" <enter>

Verliert man den Key kann man mit dem Key alleine nichts anfangen da man ja einen Teil Passphrase nicht kennt. Und wenn man die Passphrase noch ausdruckt und in einem Safe hinterlegt kommt man auch ohne Yubikey noch an seinen Rechner.

Und die weiteren Funktionen des OneTimePassword kommen später noch dran.