CRYPTTAB(5) crypttab CRYPTTAB(5)

crypttab - Konfiguration für verschlüsselte Blockgeräte

ÜBERSICHT

/etc/crypttab

Die Datei /etc/crypttab beschreibt verschlüsselte Blockgeräte, die während der frühen Systemstartphase eingerichtet werden.

Leere Zeilen und Zeilen, die mit dem Zeichen »#« beginnen, werden ignoriert. Jede andere verbleibende Zeile beschreibt ein verschlüsseltes Blockgerät. Felder werden durch Leeraum begrenzt.

Jede Zeile hat die Form

Datenträgername verschlüsseltes_Gerät Schlüsseldatei Optionen

Die ersten zwei Felder sind verpflichtend, die verbleibenden zwei optional.

Die Einrichtung eines verschlüsselten Blockgerätes mittels dieser Datei kann in vier Verschlüsselungsmodi erfolgen: LUKS, TrueCrypt, BitLocker und einfach. Siehe cryptsetup(8) für weitere Informationen über jeden Modus. Wenn kein Modus in dem Optionsfeld festgelegt wurde und das Blockgerät eine LUKS-Signatur enthält, dann wird es als LUKS-Gerät geöffnet. Andernfalls wird angenommen, dass es in rohem DM-Crypt-Format (einfacher Modus) ist.

Die vier Felder von /etc/crypttab sind wie folgt definiert:

1.Das erste Feld enthält den Namen des resultierenden Datenträgers mit entschlüsselten Daten; sein Blockgerät wird unterhalb von /dev/mapper/ eingerichtet.
2.Das zweite Feld enthält einen Pfad zu dem darunterliegenden Blockgerät oder der Datei oder eine Festlegung eines Blockgerätes mittels »UUID=« gefolgt von der UUID.
3.Das dritte Feld gibt einen absoluten Pfad auf eine Datei mit dem Verschlüsselungsschlüssel an. Optional kann dem Pfad »:« und eine /etc/fstab-artige Geräteangabe folgen (z.B. beginnend mit »LABEL=« oder ähnlichem). In diesem Fall wird der Pfad relativ zu der Wurzel des festgelegten Gerätedateisystems angenommen. Falls das Feld nicht vorhanden oder »none« oder »-« lautet, wird eine Schlüsseldatei, die nach dem zu entsperrenden Datenträger benannt ist (d.h. der ersten Spalte der Zeile), der ».key« angehängt ist, automatisch aus den Verzeichnissen /etc/cryptsetup-keys.d/ und /run/cryptsetup-keys.d/ geladen, falls vorhanden. Andernfalls muss das Passwort während des Systemstarts manuell eingegeben werden. Für die Verschlüsselung des Auslagerungsbereichs kann /dev/urandom als Schlüsseldatei verwandt werden, was zu einem zufälligen Schlüssel führt.

Falls sich der festgelegte Schlüsseldateipfad auf ein AF_UNIX-Datenstrom-Socket im Dateisystem bezieht, wird der Schlüssel beschafft, indem eine Verbindung zu dem Socket aufgebaut und er aus der Verbindung gelesen wird. Dies ermöglicht der Implementierung eines Dienstes, die Schlüsselinformationen dynamisch bereitzustellen, zu dem Zeitpunkt, zu dem sie benötigt werden. Details sind weiter unten beschrieben.

4.Das vierte Feld, falls vorhanden, ist eine Kommata-getrennte Liste von Optionen. Die unterstützten Optionen sind nachfolgend aufgeführt.

Es werden sechs verschiedene Mechanismen zur Beschaffung des Entschlüsselungs-Schlüssels oder der Passphrase zum Entsperren des verschlüsselten Datenträgers unterstützt. Konkret:

1.Am offensichtlichsten ist, dass der Benutzer interaktiv während der Datenträgeraktivierung (d.h. typischerweise beim Systemstart) danach gefragt und gebeten werden kann, die notwendigen Passphrasen einzugeben.
2.Der (entschlüsselte) Schlüssel kann aus einer Datei auf der Platte, möglicherweise einem Wechselmedium, eingelesen werden. Das dritte Feld jeder Zeile kodiert den Ort, Details sind weiter oben beschrieben.
3.Der (entschlüsselte) Schlüssel kann von einem anderen Dienst erbeten werden, indem anstelle einer Schlüsseldatei im dritten Feld ein AF_UNIX-Dateisystem-Socket festgelegt wird. Details sind weiter oben und nachfolgend beschrieben.
4.Der Schlüssel kann über ein PKCS#11-kompatibles Hardware-Token oder eine Smartcard beschafft werden. In diesem Fall wird ein verschlüsselter Schlüssel auf einer Platte/einem Wechselmedium gespeichert und mittels AF_UNIX beschafft, oder in dem LUKS2-JSON-Token-Metadatenkopf gespeichert. Der verschlüsselte Schlüssel wird dann durch den PKCS#11-Token mittels eines darauf gespeicherten RSA-Schlüssels entschlüsselt und dann für das Entsperren des verschlüsselten Datenträgers verwandt. Verwenden Sie die nachfolgend beschriebene Option pkcs11-uri=, um diesen Mechanismus zu verwenden.
5.Auf ähnliche Weise kann der Schlüssel mittels eines FIDO2-kompatiblen Hardware-Security-Tokens (der die Erweiterung »hmac-secret« implementieren muss) beschafft werden. In diesem Fall wird ein zufällig erstellter Schlüssel während der Registrierung auf der Platte/dem Wechsellaufwerk gespeichert und mittels AF_UNIX beschafft, oder in dem LUKS2-JSON-Token-Metadatenkopf gespeichert. Der zufällige Schlüssel wird mit einer indizierten Hash-Funktion (HMAC) auf dem FIDO2-Token gehasht, wobei ein auf dem Token gespeicherter geheimer Schlüssel verwandt wird, der diesen nie verlässt. Der daraus entstandene Hash-Wert wird dann als Schlüssel benutzt, um den verschlüsselte Datenträger zu entsperren. Verwenden Sie die nachfolgend beschriebene Option fido2-device=, um diesen Mechanismus zu verwenden.
6.Auf ähnliche Weise kann der Schlüssel mittels eines TPM2-Sicherheits-Chips beschafft werden. In diesem Fall wird (während der Registrierung) ein zufällig erstellter Schlüssel, der durch einen asymmetrischen, vom TPM2-Chip abgeleiteten Schlüssel verschlüsselt wurde, auf der Platte/dem Wechsellaufwerk gespeichert und mittels AF_UNIX beschafft, oder in dem LUKS2-JSON-Token-Metadatenkopf gespeichert. Verwenden Sie die nachfolgend beschriebene Option tpm2-device=, um diesen Mechanismus zu verwenden.

Für die letzteren fünf Mechanismen ist die Quelle für das Schlüsselmaterial, das zum Entsperren des Datenträgers verwandt wird, primär in dem dritten Feld jeder /etc/crypttab-Zeile kodiert, kann aber auch in /etc/cryptsetup-keys.d/ und /run/cryptsetup-keys.d/ (siehe oben) oder in den LUKS2-JSON-Token-Datenkopf (im Falle der letzteren drei) konfiguriert werden. Verwenden Sie das Werkzeug systemd-cryptenroll(1), um PKCS#11-, FIDO2- und TPM2-Geräte in LUKS2-Datenträgern zu registrieren.

Die folgenden Optionen können im vierten Feld jeder Zeile verwandt werden:

cipher=

Legt die zu verwendende Chiffre fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option. Eine Chiffre mit unvorhersagbaren IV-Werten, wie »aes-cbc-essiv:sha256«, wird empfohlen. Eingebettete Kommata in der Festlegung der Chiffre müssen durch vorangestellte Rückwärtsschrägstriche maskiert werden, wie im nachfolgenden Beispiel gezeigt.

discard

Erlaubt die Durchleitung von Discard-Anfragen an das verschlüsselte Blockgerät. Dies verbessert die Leistung bei SSD-Speichern, hat aber Auswirkungen auf die Sicherheit.

hash=

Legt den für Passwörter zu verwendenden Hash fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option.

header=

Verwendet ein abgetrenntes (separates) Metadatengerät oder -datei, in der die Kopfzeilen, die den oder die Hauptschlüssel enthalten, gespeichert sind. Diese Option ist nur für LUKS- und TrueCrypt/VeraCrypt-Geräte relevant. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option.

Optional kann dem Pfad ein »:« und eine /etc/fstab-Gerätespezifikation folgen (z.B. beginnend mit »UUID=« oder ähnlich). In diesem Fall ist der Pfad relativ zu der Dateisystemwurzel des Geräts. Das Gerät wird automatisch nur für die LUKS-Geräteaktivierungsdauer eingehängt.

keyfile-offset=

Legt die Anzahl der am Anfang der Schlüsseldatei zu überspringenden Byte fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option.

keyfile-size=

Legt die maximale Anzahl der aus der Schlüsseldatei zu lesenden Byte fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option. Diese Option wird im einfachen Verschlüsselungsmodus ignoriert, da dann die Schlüsseldateigröße durch die Schlüsselgröße gegeben ist.

keyfile-erase

Falls aktiviert, wird die angegebene Schlüsseldatei gelöscht, nachdem der Datenträger aktiviert wurde oder wenn die Aktivierung fehlschlug. Dies ist insbesondere nützlich, wenn die Schlüsseldatei vor der Aktivierung nur flüchtig erlangt wurde (z.B. über eine Datei in /run/, die durch einen vor der Aktivierung ausgeführten Dienst erzeugt wurde) und nach der Verwendung entfernt werden muss. Standardmäßig aus.

key-slot=

Legt die Schlüsselposition, mit der die Passphrase oder der Schlüssel verglichen werden soll, fest. Falls die Schlüsselposition nicht auf die übergebene Passphrase oder den Schlüssel passt, aber eine andere passen würde, schlägt die Einrichtung des Gerätes dennoch fehl. Diese Option impliziert luks. Siehe cryptsetup(8) für mögliche Werte. Die Vorgabe ist, alle Schlüsselpositionen sequenziell durchzuprobieren.

keyfile-timeout=

Legt die Zeitüberschreitung für das Gerät, auf dem die Schlüsseldatei liegt oder das Gerät, das als Schlüsseldatei verwandt wird, fest und fällt auf ein Passwort zurück, falls auf dieses Gerät nicht zugegriffen werden kann. Siehe systemd-cryptsetup-generator(8) für Schlüsseldateien auf externen Geräten.

luks

Erzwingt den LUKS-Modus. Wenn dieser Modus verwandt wird, werden die folgenden Optionen ignoriert, da sie durch die LUKS-Kopfzeilen auf dem Gerät bereitgestellt werden: cipher=, hash=, size=.

bitlk

Entschlüsselt BitLocker-Gerät. Entschlüsselungsparameter werden durch Cryptsetup aus dem BitLocker-Header abgeleitet.

_netdev

Markiert, dass dieses Kryptogerät Netzwerk benötigt. Es wird nach der Verfügbarkeit des Netzwerkes gestartet, ähnlich wie mit _netdev markierte systemd.mount(5)-Units. Die Dienste-Unit zur Einrichtung dieses Gerätes wird zwischen remote-fs-pre.target und remote-cryptsetup.target einsortiert, statt zwischen cryptsetup-pre.target und cryptsetup.target.

Tipp: Falls dieses Gerät für einen in fstab(5) festgelegten Einhängepunkt verwandt wird, sollte die Option _netdev auch für den Einhängepunkt verwandt werden. Andernfalls könnte eine Abhängigkeitsschleife erstellt werden, bei der der Einhängepunkt durch local-fs.target hereingezogen, während der Dienst zur Konfiguration des Netzwerkes normalerweise nach dem Einhängen des lokalen Dateisystems gestartet wird.

noauto

Dieses Gerät wird nicht zu cryptsetup.target hinzugefügt. Das bedeutet, dass es beim Systemstart nicht automatisch entsperrt wird, außer etwas anderes zieht es herein. Falls insbesondere das Gerät als Einhängepunkt verwandt wird, wird es während des Systemstarts automatisch entsperrt, außer der Einhängepunkt selbst ist auch mit noauto deaktiviert.

nofail

Dieses Gerät wird keine harte Abhängigkeit von cryptsetup.target sein. Es wird weiterhin hereingezogen und gestartet, aber das System wird nicht darauf warten, dass das Gerät auftaucht und entsperrt wird und der Systemstart wird nicht fehlschlagen, falls das nicht klappt. Beachten Sie, dass andere Units weiterhin von dem entsperrten Gerät abhängen und weiterhin fehlschlagen könnten. Falls insbesondere das Gerät als Einhängepunkt verwandt wird, muss der Einhängepunkt selbst auch die Option nofail haben, oder der Systemstart wird fehlschlagen, falls das Gerät nicht erfolgreich entsperrt wurde.

offset=

Anfangsversatz im Gerät im Hintergrund, in 512-Byte-Sektoren. Diese Option ist nur für einfache Geräte relevant.

plain

Erzwingt den einfachen Verschlüsselungsmodus.

read-only, readonly

Richtet das verschlüsselte Blockgerät schreibgeschützt ein.

same-cpu-crypt

Führt die Verschlüsselung auf der gleichen CPU aus, auf der E/A übergeben wurde. Die Vorgabe ist die Verwendung einer unbegrenzten Arbeitswarteschlange, so dass die Verschlüsselungsarbeit automatisch zwischen verfügbaren CPUs ausbalanciert wird.

Dies benötigt Kernel 4.0 oder neuer.

submit-from-crypt-cpus

Deaktiviert das Abladen von Schreibaktionen in einen separaten Thread nach der Entschlüsselung. Es gibt einige Situationen, bei denen das Abladen der Schreibaktionen aus Entschlüsselungs-Threads in einen dedizierten Thread die Leistung deutlich senkt. Die Vorgabe ist, Schreibaktionen auf einen dedizierten Thread abzuladen, da es für den CFQ-Scheduler von Vorteil ist, wenn Schreibaktionen im gleichen Kontext übergeben werden.

Dies benötigt Kernel 4.0 oder neuer.

no-read-workqueue

Umgeht die interne Arbeitswarteschlange von dm-crypt und verarbeitet Leseanfragen synchron. Standardmäßig werden diese Anfragen in eine Warteschlange eingestellt und dann asynchron verarbeitet.

Dies benötigt Kernel 5.9 oder neuer.

no-write-workqueue

Umgeht die interne Arbeitswarteschlange von dm-crypt und verarbeitet Schreibanfragen synchron. Standardmäßig werden diese Anfragen in eine Warteschlange eingestellt und dann asynchron verarbeitet.

Dies benötigt Kernel 5.9 oder neuer.

skip=

Wie viele 512-Byte-Sektoren der verschlüsselten Daten am Anfang übersprungen werden sollen. Dies unterscheidet sich von der Option offset= im Hinblick auf die im Initialisierungsvektor (IV) für die Berechnung verwandte Anzahl an Sektoren. Durch die Verwendung von offset= wird die IV-Berechnung durch die gleiche negative Anzahl verschoben. Falls daher offset=n übergeben wird, wird Sektor n eine Sektorennummer 0 für die IV-Berechnung erhalten. skip= bewirkt, dass Sektor n auch der erste Sektor des zugeordneten Gerätes ist, aber dabei die Nummer n für die IV-Erstellung hat.

Diese Option ist nur für einfache Geräte relevant.

size=

Legt die Schlüsselgröße in Bits fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option.

sector-size=

Legt die Sektorgröße in Byte fest. Siehe cryptsetup(8) für mögliche Werte und den Vorgabewert dieser Option.

swap

Das verschlüsselte Gerät wird als Auslagerungsgerät benutzt. Es wird nach der Einrichtung des verschlüsselten Blockgerätes entsprechend mit mkswap(8) formatiert. Diese Option impliziert plain.

WARNUNG: Durch Verwendung der Option swap wird der Inhalt der benannten Partition während jedes Systemstarts zerstört. Stellen Sie daher sicher, dass das zugrundeliegende Blockgerät korrekt angegeben ist.

tcrypt

Verwendet den TrueCrypt-Verschlüsselungsmodus. Beim Einsatz dieses Modus werden die folgenden Optionen ignoriert, da sie durch die TrueCrypt-Kopfzeilen bereitgestellt oder nicht anwendbar sind: cipher=, hash=, keyfile-offset=, keyfile-size=, size=.

Beim Einsatz dieses Modus wird die Passphrase aus der im dritten Feld übergebenen Datei gelesen. Es wird nur die erste Zeile dieser Datei ohne das Zeilenvorschubszeichen gelesen.

Beachten Sie, dass das TrueCrypt-Format sowohl Passphrasen als auch Schlüsseldateien zur Ableitung eines Passworts für den Datenträger verwendet. Daher müssen die Passphrase und alle Schlüsseldateien angegeben werden. Verwenden Sie tcrypt-keyfile=, um den absoluten Pfad zu allen Schlüsseldateien anzugeben. Bei der Verwendung einer leeren Passphrase in Kombination mit einer oder mehrerer Schlüsseldateien verwenden Sie »/dev/null« als Passwortdatei im dritten Feld.

tcrypt-hidden

Verwendet den versteckten TrueCrypt-Datenträger. Diese Option impliziert tcrypt.

Dies bildet den versteckten Datenträger, das sich innerhalb des im zweiten Feld angegebenen Datenträgers befindet, ab. Beachten Sie, dass es keinen Schutz für den versteckten Datenträger gibt, falls stattdessen der äußere Datenträger eingehängt wird. Siehe cryptsetup(8) für weitere Informationen über diese Beschränkung.

tcrypt-keyfile=

Legt den absoluten Pfad zu der für ein TrueCrypt-Datenträger zu verwendenden Schlüsseldatei fest. Dies impliziert tcrypt und kann mehr als einmal zur Angabe mehrerer Schlüsseldateien verwandt werden.

Lesen Sie beim Einsatz des TrueCrypt-Verschlüsselungsmodus den Eintrag zu tcrypt für das Verhalten der Passphrase und Schlüsseldateien.

tcrypt-system

TrueCrypt im Systemverschlüsselungsmodus verwenden. Diese Option impliziert tcrypt.

tcrypt-veracrypt

Prüft auf ein VeraCrypt-Datenträger. VeraCrypt ist eine Abspaltung von TrueCrypt, die größtenteils kompatibel ist, aber andere, stärkere Schlüsselableitungsalgorithmen verwendet, die ohne diesen Schalter nicht erkannt werden können. Aktivierung dieser Option könnte das Entsperren deutlich verlangsamen, da die Schlüsselableitung von VeraCrypt viel länger als die von TrueCrypt dauert. Diese Option impliziert tcrypt.

veracrypt-pim=

Legt den Wert eines angepassten »Personal Iteration Multiplier« (PIM) fest, der im Bereich 0…2147468 für Standard-Veracrypt-Datenträger und 0…65535 für Veracrypt-Systemdatenträger sein kann. Ein Wert 0 impliziert die Vorgabe von Veracrypt. Diese Option wird nur wirksam, wenn tcrypt-veracrypt gesetzt ist.

Beachten Sie, dass VeraCrypt einen minimalen erlaubten PIM-Wert erzwingt, der von der Passwortstärke und dem für die Schlüsselableitung verwandten Hash-Algorithmus abhängt. Allerdings prüft veracrypt-pim= dies nicht gegen diese Schranken. Siehe die Dokumentation[1] für weitere Informationen.

timeout=

Legt die Zeitüberschreitung für die Abfrage eines Passworts fest. Falls keine Einheit angegeben ist, werden Sekunden verwandt. Unterstützte Einheiten sind s, ms, us, min, h, d. Eine Zeitüberschreitung von 0 wartet unendlich lang (dies ist die Vorgabe).

tmp=

Das verschlüsselte Blockgerät wird für den Einsatz als /tmp/ vorbereitet; es wird mittels mkfs(8) formatiert. Akzeptiert einen Dateisystemtyp als Argument, wie »ext4«, »xfs« oder »btrfs«. Falls kein Argument angegeben ist, ist »ext4« die Vorgabe. Diese Option impliziert plain.

WARNUNG: Durch Verwendung der Option tmp wird der Inhalt der benannten Partition während jedes Systemstarts zerstört. Stellen Sie daher sicher, dass das zugrundeliegende Blockgerät korrekt angegeben ist.

tries=

Legt die maximale Anzahl an Abfragen des Benutzers nach einem Passwort fest. Die Vorgabe ist 3. Falls auf 0 gesetzt, wird der Benutzer unendlich oft nach einem Passwort gefragt.

headless=

Akzeptiert ein logisches Argument, standardmäßig falsch. Falls wahr, wird niemals interaktiv nach einem Passwort/einer PIN gefragt. Nützlich für Systeme ohne Monitor.

verify

Falls das Verschlüsselungspasswort aus der Konsole ausgelesen wird, muss es zweimal eingegeben werden, um Tippfehler zu vermeiden.

password-echo=yes|no|masked

Steuert, ob Passwörter oder die PINs von Sicherheits-Token bei der Eingabe auch gleich auf der Konsole wieder ausgegeben werden. Akzeptiert einen logischen Wert oder die besondere Zeichenkette »masked«. Die Vorgabe ist password-echo=masked.

Falls aktiviert, werden die eingegebenen Zeichen 1:1 ausgegeben. Falls deaktiviert, werden die eingegebenen Zeichen in keiner Weise wieder ausgegeben, der Benutzer erhält keine Rückmeldung zu seiner Eingabe. Falls auf »masked« gesetzt, wird ein Sternchen (»*«) für jedes getippte Zeichen ausgegeben. Unabhängig davon, welcher Modus ausgewählt wird, wird die Ausgabe eingegebener Zeichen ausgeschaltet, falls der Benutzer zu irgendeinem Zeitpunkt die Tabulatortaste (»↹«) oder vor der Eingabe anderer Daten die Rückschritttaste (»⌫«) drückt.

pkcs11-uri=

Akzeptiert entweder den besonderen Wert »auto« oder eine RFC7512 PKCS#11 URI[2], die auf einen privaten RSA-Schlüssel zeigt, der zum Enschlüsseln des in der dritten Spalte der Zeile festgelegten verschlüsselten Schlüssels verwandt wird. Dies ist nützlich, um verschlüsselte Datenträger mittels PKCS#11-kompatible Sicherheits-Token oder Smartcards zu entsperren. Weiter unten finden Sie ein Beispiel, wie Sie diesen Mechanismus zum Entsperren eines LUKS2-Datenträgers mit einem YubiKey-Sicherheits-Token verwenden können.

Falls dies als »auto« festgelegt wurde, dann muss der Datenträger vom Typ LUKS2 sein und die PKCS#11-Sicherheits-Token-Metadaten in seinem LUKS2-JSON-Token-Abschnitt tragen. In diesem Modus werden die URI und der verschlüsselte Schlüssel automatisch aus dem LUKS2-JSON-Token-Datenkopf gelesen. Verwenden Sie systemd-cryptenroll(1) als einfaches Werkzeug zum Registrieren von PKCS#11-Sicherheits-Token oder -Smartcards, auf eine Art, die mit »auto« kompatibel ist. In diesem Modus sollte die dritte Spalte der Zeile leer bleiben (das bedeutet, als »-« festgelegt sein).

Die festgelegte URI kann sich entweder direkt auf einen privaten, auf dem Token gespeicherten RSA-Schlüssel oder alternativ nur auf ein Position oder einen Token beziehen. In letzterem Fall wird eine Suche nach einem geeigneten privaten RSA-Schlüssel durchgeführt. Werden in diesem Fall mehrere geeignete Objekte gefunden, wird der Token abgelehnt. Der in der dritten Spalte der Zeile konfigurierte verschlüsselte Schlüssel wird unverändert (d.h. in binärer Form, unverarbeitet) an die RSA-Entschlüsselung weitergegeben. Der daraus entstehende entschlüsselte Schlüssel wird dann Base64-kodiert, bevor er zum Entsperren des LUKS-Datenträgers verwandt wird.

Verwenden Sie systemd-cryptenroll --pkcs11-token-uri=list, um alle geeigneten, derzeit eingesteckten PKCS#11-Sicherheits-Token zusammen mit ihren URIs aufzulisten.

Beachten Sie, dass viele neuere Sicherheits-Token, die auch als PKCS#11-Sicherheits-Token verwandt werden können, typischerweise auch das neuere und einfachere (nachfolgend beschriebene) fido2-device= implementieren, um sie stattdessen mit FIDO2 zu registrieren. Beachten Sie, dass ein mittels PKCS#11 registrierter Token nicht zum Entsperren eines Datenträgers mittels FIDO2 verwandt werden kann, außer er ist auch mittels FIDO2 registriert und umgekehrt.

fido2-device=

Akzeptiert entweder den besonderen Wert »auto« oder den Pfad zu einem »hidraw«-Geräteknoten (z.B. /dev/hidraw1), der sich auf einen FIDO2-Sicherheits-Token bezieht, der die Erweiterung »hmac-secret« implementiert (was die meisten aktuellen Hardware-Sicherheits-Token machen). Weiter unten finden Sie ein Beispiel, wie dieser Mechanismus eingerichtet wird, um einen verschlüsselten Datenträger mit einem FIDO2-Sicherheits-Token zu entsperren.

Falls dies als »auto« festgelegt wird, wird das FIDO2-Token-Gerät automatisch erkannt, wenn es eingesteckt wird.

FIDO2-Datenträgerentsperrung benötigt einen Client-Kennungs-Hash (CID), der mittels fido2-cid= (siehe unten) konfiguriert wird und einen Schlüssel, der an die HMAC-Funktionalität des Sicherheits-Tokens übergeben werden muss (der in der dritten Spalte der Zeile konfiguriert wird), um zu funktionieren. Falls nicht konfiguriert und der Datenträger vom Typ LUKS2 ist, wird die CID und der Schlüssel stattdessen von den LUKS2-JSON-Token-Metadaten gelesen. Verwenden Sie systemd-cryptenroll(1) als einfaches Werkzeug, um FIDO2-Sicherheits-Token, die zum automatischen Modus kompatibel sind, der nur für LUKS2-Datenträger verfügbar ist, zu konfigurieren.

Verwenden Sie systemd-cryptenroll --fido2-device=list, um alle geeigneten und derzeit eingesteckten FIDO2-Sicherheits-Token zusammen mit ihren Geräteknoten aufzulisten.

Diese Option implementiert den folgenden Mechanismus: der konfigurierte Schlüssel wird mittels der vom FIDO2-Gerät implementierten HMAC-indizierten Hash-Funktion gehasht, indiziert durch einen geheimen Schlüssel, der im Gerät eingebettet ist. Der daraus entstehende Hash-Wert wird Base64-kodiert und zum entsperren des LUKS2-Datenträgers verwandt. Da es nicht möglich sein darf, den geheimen Schlüssel vom Hardware-Token auszulesen, sollte es nicht möglich sein, den gehashten Schlüssel zu ermitteln, wenn der konfigurierte Schlüssel übergeben wird — ohne den Hardware-Token zu besitzen.

Beachten Sie, dass viele Sicherheits-Token, die FIDO2 implementieren, auch PKCS#11 implementieren, was zum Entsperren von Datenträgern mit der oben beschriebenen Option pkcs11-uri= geeignet ist. Typischerweise ist der neuere, einfachere FIDO2-Standard zu bevorzugen.

fido2-cid=

Akzeptiert eine Base64-kodierte FIDO2-Client-Kennung, die für die FIDO2-Entsperraktion verwandt werden soll. Falls festgelegt, aber nicht fido2-device=, dann wird fido2-device=auto impliziert. Falls fido2-device= verwandt wird aber nicht fido2-cid=, dann muss der Datenträgertyp LUKS2 sein und die CID wird aus den LUKS2-JSON-Token-Kopfzeilen ausgelesen. Verwenden Sie systemd-cryptenroll(1) zum Registrieren von FIDO2-Token in den LUKS2-Kopfzeilen, die zu diesem Modus kompatibel sind.

fido2-rp=

Akzeptiert eine Zeichenkette, die die FIDO2-Weiterleitungs-Partei (rp) für die FIDO2-Entsperraktion konfiguriert. Falls nicht festgelegt, wird »io.systemd.cryptsetup« verwandt, außer falls die LUKS2-JSON-Token-Kopfzeilen einen anderen Wert enthalten. Normalerweise sollte es nicht notwendig sein, diesen Wert außer Kraft zu setzen.

tpm2-device=

Akzeptiert entweder den besonderen Wert »auto« oder den Pfad zu einem Geräteknoten (z.B. /dev/tpmrm0), der sich auf einen TPM2-Sicherheits-Chip bezieht. Siehe weiter unten für ein Beispiel, wie dieser Mechanismus zum Entsperren eines verschlüsselten Datenträgers mit einem TPM2-Chip verwandt wird.

Verwenden Sie tpm2-pcrs= (siehe unten), um die Menge der TPM2-PCRs, die an die Datenträger-Entsperrung gebunden werden soll, zu konfigurieren. Verwenden Sie systemd-cryptenroll(1) als einfacheres Werkzeug zum Registrieren von TPM2-Sicherheits-Chips bei LUKS2-Datenträgern.

Falls als »auto« festgelegt, wird das TPM2-Gerät automatisch ermittelt. Verwenden Sie systemd-cryptenroll --tpm2-device=list, um alle derzeit verfügbaren geeigneten TPM2-Geräte zusammen mit ihren Geräteknoten aufzulisten.

Diese Option implementiert die folgenden Mechanismen: Beim Registrieren eines TPM2-Gerätes mittels systemd-cryptenroll an einem LUKS2-Datenträger wird auf dem Rechner ein zufälliger Schlüssel zum Entsperren des Datenträgers erstellt und in den TPM2-Chip geladen, wo er mit dem asymmetrischen »primären« Schlüsselpaar, das vom internen »seed«-Schlüssel des TPMs abgeleitet ist, verschlüsselt wird. Es wird sichergestellt, dass weder der Seed-Schlüssel noch der primäre Schlüssel jemals den TPM2-Chips verlassen — der jetzt verschlüsselte zufällige Schlüssel darf dies aber. Er wird in den JSON-Token-Kopfzeilen des LUKS2-Datenträgers gespeichert. Beim Entsperren des verschlüsselten Datenträgers wird auf dem TPM2-Chip das primäre Schlüsselpaar erneut erstellt (was funktioniert, solange der Seed-Schlüssel auf dem TPM-Chip korrekt verwaltet wird). Dieses Schlüsselpaar wird dann zum Entschlüsseln (auf dem TPM2-Chips) des verschlüsselten Schlüssel aus den JSON-Token-Kopfzeilen des LUK2-Datenträgers, der dort beim Registrieren gespeichert wurde, verwandt. Der daraus entstehende entschlüsselte Schlüssel wird dann zum Entschlüsseln des Datenträgers verwandt. Wenn der zufällige Schlüssel verschlüsselt wird, dann werden die aktuellen Werte der ausgewählten PCRs (siehe unten) in der Aktion eingebunden, so dass ein anderer PCR-Status zu einem anderen verschlüsselten Schlüssel führt und der entschlüsselte Schlüssel nur wiederhergestellt werden kann, falls der gleiche PCR-Zustand reproduziert wird.

tpm2-pcrs=

Akzeptiert eine durch »+« getrennte Liste von numerischen TPM2-PCR- (d.h. »Plattformkonfigurationsregister«) Indices, an die die TPM2-Datenträgerentsperrung gebunden werden sollen. Diese Option ist nur nützlich, wenn die TPM2-Registrierungsmetadaten nicht bereits in den LUKS2-JSON-Token-Kopfzeilen verfügbar sind, auf die Art, wie sie systemd-cryptenroll dort hineinschreibt. Falls nicht verwandt (und keine Metadaten in den LUKS2-JSON-Token-Kopfzeilen sie definieren) ist die Vorgabe eine Liste mit einem einzigen Eintrag: PCR 7. Weisen Sie eine leere Zeichenkette zu, um eine Richtlinie festzulegen, die den Schlüssel an keine PCR bindet, wodurch der Schlüssel für lokale Programme zugreifbar wird, unabhängig von dem aktuellen PCR-Status.

tpm2-pin=

Akzeptiert ein logisches Argument, standarmäßig »false«. Steuert, ob TPM2-Datenträger-Entsperrung neben PCRs an eine PIN gebunden ist. Entsprechend ist diese Option nur nützlich, falls die TPM2-Registrierungs-Metadaten nicht verfügbar sind.

tpm2-signature=

Akzeptiert einen absoluten Pfad zu einer TPM2-PCR-JSON-Signaturdatei, wie sie vom Werkzeug systemd-measure(1) erstellt wird. Damit können LUKS2-Datenträger an jeden PCR-Wert gesperrt werden, für den eine gültige Signaturdatei bereitgestellt werden kann, die auf einen öffentlichen Schlüssel passt, der bei der Schlüsselregistrierung angegeben wurde. Siehe systemd-cryptenroll(1) zu Details über das Registrieren von öffentlichen TPM2-PCR-Schlüsseln. Falls diese Option nicht angegeben ist, aber versucht wird, ein LUKS2-Datenträger mit einer signierten TPM2-PCR-Registrierung zu entsperren, wird nach einer geeigneten Signaturdatei tpm2-pcr-signature.json in /etc/systemd/, /run/systemd/, /usr/lib/systemd/ (in dieser Reihenfolge) gesucht.

tpm2-measure-pcr=

Steuert, ob der Datenträgerschlüssel des verschlüsselten Datenträgers in ein TPM2 PCR eingemessen werden soll. Falls auf »no« (die Vorgabe) gesetzt, erfolgt keine PCR-Erweiterung. Falls auf »yes« gesetzt, wird der Datenträgerschlüssel in PCR 15 eingemessen. Falls auf eine dezimale Ganzahl im Bereich 0…23 gesetzt, wird der Datenträgerschlüssel in das festgelegte PCR eingemessen. Der Datenträgerschlüssel wird zusammen mit dem Namen des aktivierten Datenträgers und seiner UUID eingemessen. Diese Funktionalität ist insbesondere für verschlüsselte Datenträger nützlich, die das Wurzeldateisystem unterlegen, da sie damit späteren TPM-Objekten erlaubt, sicher an das Wurzeldateisystem und damit die konkrete Installation gebunden zu werden.

tpm2-measure-bank=

Wählt eine oder mehrere TPM2-PCR-Bänke aus, in die der Datenträgerschlüssel eingemessen werden soll, wie oben mit tpm2-measure-pcr= konfiguriert. Es können mehrere Bänke, getrennt durch Doppelpunkte, angegeben werden. Falls nicht angegeben, werden die verfügbaren und benutzten Bänke automatisch bestimmt. Erwartet einen Nachrichten-Hash-Namen (z.B. »sha1«, »sha256«, …) als Argument, um die Bank zu identifizieren.

token-timeout=

Legt fest, wie lange maximal auf das Auftauchen des konfigurierten Sicherheitsgerätes (d.h. FIDO2, PKCS#11, TPM2) gewartet werden soll. Akzeptiert einen Zeitwert in Sekunden (es dürfen aber auch andere Zeiteinheiten angegeben werden, siehe systemd.time(7) für unterstützte Formate). Standardmäßig 30s. Sobald die festgelegte Zeitüberschreitung abgelaufen ist, wird die Authentifizierung über Passwort versucht. Beachten Sie, dass die Zeitüberschreitung für das Warten auf das Auftauchen des Sicherheitsgerätes gilt – sie gilt nicht für die PIN-Eingabeaufforderung für das Gerät (sollte eine benötigt werden) oder ähnliches. Übergeben Sie »0«, um die Zeitüberschreitung zu deaktivieren und beliebig lange zu warten.

try-empty-password=

Akzeptiert ein logisches Argument. Falls aktiviert, wird zuerst versucht, den Datenträger mit einem leeren Passwort zu entsperren, bevor der Benutzer nach einem Passwort gefragt wird. Dies ist für Systeme nützlich, die mit einem verschlüsselten Datenträger initialisiert werden, bei dem nur ein leeres Passwort gesetzt ist, das dann während des ersten Systemstarts aber nach der Aktivierung mit einem geeigneten Passwort ersetzt werden muss.

x-systemd.device-timeout=

Legt fest, wie lange Systemd auf das Auftauchen eines blockorientierten Gerätes warten soll, bevor es bei dem Eintrag aufgibt. Das Argument ist eine Zeit in Sekunden oder in einer explizit angegebenen Einheit (»s«, »min«, »h«, »ms«).

x-initrd.attach

Richtet dieses verschlüsselte Blockgerät in der Initrd ein, ähnlich zu mit x-initrd.mount markierten systemd.mount(5)-Units.

Obwohl es nicht notwendig ist, den Einhängeeintrag für das Wurzeldateisystem mit x-initrd.mount zu markieren, wird x-initrd.attach weiterhin für verschlüsselte Blockgeräte empfohlen, die das Wurzeldateisystem enthalten, da Systemd andernfalls versuchen wird, das Gerät während des regulären Herunterfahrens des Systems abzuhängen, während es noch verwandt wird. Mit dieser Option wird das Gerät weiterhin abgehängt, aber später, wenn das Wurzeldateisystem ausgehängt wird.

Alle anderen verschlüsselten Blockgeräte, die in der Initrd eingehängte Dateisysteme enthalten, sollten diese Option verwenden.

In der frühen Systemstartphase und wenn die Konfiguration des Systemverwalters neu geladen wird, wird diese Datei durch systemd-cryptsetup-generator(8) in eine native Systemd-Unit übersetzt.

Falls der Schlüsseldateipfad (wie in der dritten Spalte der /etc/crypttab-Einträge festgelegt, siehe oben) sich auf ein AF_UNIX-Datenstrom-Socket in dem Dateisystem bezieht, wird der Schlüssel erlangt, indem eine Verbindung zu dem Socket aufgebaut und der Schlüssel aus der Verbindung gelesen wird. Die Verbindung erfolgt von einem AF_UNIX-Socket in dem abstrakten Namensraum, siehe unix(7) für Details. Der Quell-Socket-Name wird gemäß folgendem Format ausgewählt:

NUL ZUFALL /cryptsetup/ DATENTRÄGER

Mit anderen Worten: ein Nullbyte (NUL) (wie für abstrakte Namensraum-Sockets benötigt), gefolgt von einer zufälligen Zeichenkette (bestehend nur aus alphanumerischen Zeichen), gefolgt von der wörtlichen Zeichenkette »cryptsetup«, gefolgt von dem Namen des Datenträgers, für den der Schlüssel erlangt werden soll. Zum Beispiel für einen Datenträger »myvol«:

\0d7067f78d9827418/cryptsetup/myvol

Dienste, die auf dem AF_UNIX-Datenstrom-Socket auf Anfragen warten, können den Quell-Socket-Namen mit getpeername(2) abfragen und dieses dazu verwenden, den gesandten Schlüssel zu ermitteln, wodurch ein einzelner, auf Anfragen wartender Socket Schlüssel für eine Reihe von Datenträgern bereitstellen kann. Falls die PKCS#11-Logik verwandt wird (siehe oben), wird der Socket-Quellname auf ähnliche Art ermittelt, außer dass die wörtliche Zeichenkette »cryptsetup-pkcs11« verwandt wird. Ähnlich für FIDO2 (»cryptsetup-fido2«) und TPM2 (»cryptsetup-tpm2«). Es wird eine andere Pfadkomponente verwandt, damit Dienste, die Schlüsselmaterial bereitstellen, wissen, dass der geheime Schlüssel nicht direkt erbeten wurde, sondern stattdessen ein verschlüsselter Schlüssel, der mittels der PKCS#11/FIDO2/TPM2-Logik entschlüsselt wird, um den letztendlichen geheimen Schlüssel zu erlangen.

Beispiel 1. /etc/crypttab-Beispiel

Richtet vier verschlüsselte Blockgeräte ein. Eines mittels LUKS für die normale Speicherung, ein anderes für die Verwendung als Auslagerungsgerät und zwei TrueCrypt-Datenträger. Für das vierte Gerät wird die Optionszeichenkette als zwei Optionen interpretiert: »cipher=xchacha12,aes-adiantum-plain64«, »keyfile-timeout=10s«.

luks       UUID=2505567a-9e27-4efe-a4d5-15ad146c258b
swap       /dev/sda7       /dev/urandom       swap
truecrypt  /dev/sda2       /etc/container_password  tcrypt
hidden     /mnt/tc_hidden  /dev/null    tcrypt-hidden,tcrypt-keyfile=/etc/keyfile
external   /dev/sda3       keyfile:LABEL=keydev keyfile-timeout=10s,cipher=xchacha12\,aes-adiantum-plain64

Beispiel 2. Yubikey-basierte PKCS#11-Datenträger-Entsperrung

Die PKCS#11-Logik erlaubt das Einbinden jedes kompatiblen Sicherheits-Tokens, der in der Lage ist, RSA-Entschlüsselungsschlüssel für das Entsperren verschlüsselter Datenträger zu speichern. Als Beispiel hier die Einrichtung eines Yubikey-Sicherheits-Tokens für ein LUKS2-Datenträger zu diesem Zweck mittels ykmap(1) aus dem Yubikey-manager-Projekt, um den Token zu initialisieren und systemd-cryptenroll(1), um ihn zu dem LUKS2-Datenträger hinzuzufügen:

# SPDX-License-Identifier: MIT-0
# Alle alten Schlüssel auf dem Yubikey zerstören (Vorsicht!)
ykman piv reset
# Erstellt ein neues Schlüsselpaar (privat/öffentlich) auf dem Gerät, speichert den
# öffentlichen Schlüssel in »pubkey.pem«.
ykman piv generate-key -a RSA2048 9d pubkey.pem
# Erstellen Sie ein selbstsigniertes Zertifikat aus diesem öffentlichen Schlüssel und speichern Sie es auf dem
# Gerät. Das »subject« sollte eine beliebige, vom Benutzer gewählte Zeichenkette sein, um den Token
# damit zu identifizieren.
ykman piv generate-certificate --subject "Knobelei" 9d pubkey.pem
# Wir brauchen den öffentlichen Schlüssel nicht mehr, daher wird er entfernt. Da er nicht sicherheitsrelevant
# ist, führen wir einfach ein reguläres »rm« hier aus.
rm pubkey.pem
# Registriert den frisch initialisierten Sicherheits-Token in dem LUKS2-Datenträger.
# Ersetzen Sie /dev/sdXn durch die zu verwendende Partition (z.B. /dev/sda1).
sudo systemd-cryptenroll --pkcs11-token-uri=auto /dev/sdXn
# Testen: Führen Sie »systemd-cryptsetup« aus, um zu testen, ob alles funktioniert.
sudo /usr/lib/systemd/systemd-cryptsetup attach mytest /dev/sdXn - pkcs11-uri=auto
# Falls das funktionierte, fügen Sie die gleiche Zeile für die Zukunft dauerhaft zu
# /etc/crypttab hinzu.
sudo bash -c 'echo "mytest /dev/sdXn - pkcs11-uri=auto" >>/etc/crypttab'

Ein paar Hinweise zu obigem:

•Wir verwenden RSA2048, das die längste, derzeit von Yubikeys unterstützte Schlüssellänge ist.
•Wir verwenden die Yubikey Schlüssel-Position 9d, da dies offensichtlich die für Entschlüsselungszwecke zu verwendende Position ist, siehe Dokumentation[3].

Beispiel 3. FIDO2-Datenträger-Entsperrung

Die FIDO2-Logik erlaubt das Verwenden jedes kompatiblen FIDO2-Sicherheits-Tokens, der die Erweiterung »hmac-secret« zum Entsperren eines verschlüsselten Datenträgers implementiert. Als Beispiel hier die Einrichtung eines FIDO2-Sicherheits-Tokens für ein LUKS2-Datenträger mittels systemd-cryptenroll(1) zu diesem Zweck:

# SPDX-License-Identifier: MIT-0
# Registrieren des Sicherheits-Tokens am LUKS2-Datenträger. Ersetzen Sie /dev/sdXn
# durch die zu verwendende Partition (z.B. /dev/sda1).
sudo systemd-cryptenroll --fido2-device=auto /dev/sdXn
# Testen: Führen Sie »systemd-cryptsetup« aus, um zu testen, ob alles funktioniert.
sudo /usr/lib/systemd/systemd-cryptsetup attach mytest /dev/sdXn - fido2-device=auto
# Falls das funktionierte, fügen Sie die gleiche Zeile für die Zukunft dauerhaft
# zu /etc/crypttab hinzu.
sudo bash -c 'echo "mytest /dev/sdXn - fido2-device=auto" >>/etc/crypttab'

Beispiel 4. TPM2-basierte Datenträger-Entsperrung

Die TPM2-Logik erlaubt die Verwendung jedes durch den Linux-Kernel unterstützten TPM2-Chips zum Entsperren eines verschlüsselten Datenträgers. Es folgt ein Beispiel, wie ein TPM2-Chip für diesen Zweck für ein LUKS2-Datenträger mittels systemd-cryptenroll(1) eingerichtet wird:

# SPDX-License-Identifier: MIT-0
# Registrieren des TPM2-Sicherheits-Chips am LUKS2-Datenträger und Anbindung an nur
# PCR 7. Ersetzen Sie /dev/sdXn durch die zu verwendende Partition (z.B. /dev/sda1).
sudo systemd-cryptenroll --tpm2-device=auto --tpm2-pcrs=7 /dev/sdXn
# Testen: Führen Sie »systemd-cryptsetup« aus, um zu testen, ob alles funktioniert.
sudo /usr/lib/systemd/systemd-cryptsetup attach mytest /dev/sdXn - tpm2-device=auto
# Falls das funktionierte, fügen Sie die gleiche Zeile für die Zukunft dauerhaft
# zu /etc/crypttab hinzu.
sudo bash -c 'echo "mytest /dev/sdXn - tpm2-device=auto" >>/etc/crypttab'

systemd(1), systemd-cryptsetup@.service(8), systemd-cryptsetup-generator(8), systemd-cryptenroll(1), fstab(5), cryptsetup(8), mkswap(8), mke2fs(8)

1.
Siehe Dokumentation
2.
RFC7512 PKCS#11 URI
3.
siehe Dokumentation

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

systemd 254