Zwei-Faktor-LUKS

Normalerweise sichert ein Passwort eine mit LUKS verschlüsselte Festplatte ab. Ist es sehr kurz, könnte es ein Angreifer erraten, ist es sehr lang, verzögert das Eintippen des Passworts den Systemstart – sofern man sich das lange Passwort überhaupt merken kann. Eine Zwei-Faktor-Authentifizierung mit Smartcard und PIN sichert den Festplattenschlüssel besser als ein Passwort und kostet weniger Zeit.

Bei einem mit LUKS verschlüsselten Logical Volume (LVM) befinden sich in einer unverschlüsselten /boot-Partition der Kernel und die Ramdisk eines initialen Systems, welches das Passwort zum Entschlüsseln der Festplatte abfragt. In einem solchen Setup kann man einen zusätzlichen LUKS-Schlüssel erzeugen, diesen mit GnuPG verschlüsseln und ebenfalls in der Ramdisk auf der /boot-Partition speichern. Beim Neustart wird dann der Schlüssel zur Entschlüsselung des Massenspeichers per GnuPG entschlüsselt (Hybrid-Verschlüsselung). Da Sie dafür die Smartcard aus dem vorangegangenen Artikel brauchen und die PIN kennen müssen, handelt es sich um eine Zwei-Faktor-Authentifizierung. Die folgende Anleitung geht davon aus, dass Sie das LVM mit LUKS und unverschlüsselter /boot-Partition bereits eingerichtet haben. Beispielsweise erzeugt der Debian-Installer ein solches Setup, wenn Sie die Festplattenverschlüsselung aktivieren.