Kapitel 22. Sperren von Daten mit LUKS-Passwort in der RHEL-Webkonsole

Auf der Registerkarte Storage der Web-Konsole können Sie jetzt verschlüsselte Geräte mit dem LUKS-Format (Linux Unified Key Setup) Version 2 erstellen, sperren, entsperren, die Größe ändern und anderweitig konfigurieren.

Diese neue Version von LUKS bietet:

  • Flexiblere Entsperrungsrichtlinien
  • Stärkere Kryptographie
  • Bessere Kompatibilität mit zukünftigen Änderungen

Voraussetzungen

  • Die RHEL 8 Web-Konsole wurde installiert.

    Details finden Sie unter Installieren der Web-Konsole.

  • Das Paket cockpit-storaged ist auf Ihrem System installiert.

22.1. LUKS-Festplattenverschlüsselung

Das Linux Unified Key Setup-on-disk-format (LUKS) ermöglicht die Verschlüsselung von Blockgeräten und bietet eine Reihe von Tools, die die Verwaltung der verschlüsselten Geräte vereinfachen. LUKS ermöglicht es, dass mehrere Benutzerschlüssel einen Master-Schlüssel entschlüsseln, der für die Massenverschlüsselung der Partition verwendet wird.

RHEL verwendet LUKS, um die Verschlüsselung von Blockgeräten durchzuführen. Standardmäßig ist die Option zum Verschlüsseln des Blockgeräts während der Installation nicht aktiviert. Wenn Sie die Option zum Verschlüsseln des Datenträgers wählen, fordert das System Sie bei jedem Start des Computers zur Eingabe einer Passphrase auf. Diese Passphrase »schaltet« den Massenverschlüsselungsschlüssel »frei«, der Ihre Partition entschlüsselt. Wenn Sie sich entscheiden, die Standard-Partitionstabelle zu ändern, können Sie wählen, welche Partitionen Sie verschlüsseln wollen. Dies wird in den Einstellungen der Partitionstabelle festgelegt.

Was LUKS macht

  • LUKS verschlüsselt ganze Blöcke und eignet sich daher gut zum Schutz von Inhalten mobiler Geräte wie z.B. Wechseldatenträgern oder Laptop-Laufwerken.
  • Der zugrundeliegende Inhalt des verschlüsselten Blockgeräts ist willkürlich, was es für die Verschlüsselung von Swap-Geräten nützlich macht. Dies kann auch bei bestimmten Datenbanken nützlich sein, die speziell formatierte Blockgeräte zur Datenspeicherung verwenden.
  • LUKS verwendet das bestehende Device-Mapper-Kernel-Subsystem.
  • LUKS bietet eine Passphrasenverstärkung, die vor Wörterbuchangriffen schützt.
  • LUKS-Geräte enthalten mehrere Schlüsselsteckplätze, die es dem Benutzer ermöglichen, Backup-Schlüssel oder Passphrasen hinzuzufügen.

Was macht LUKS not

  • Festplatten-Verschlüsselungslösungen wie LUKS schützen die Daten nur, wenn Ihr System ausgeschaltet ist. Sobald das System eingeschaltet ist und LUKS den Datenträger entschlüsselt hat, sind die Dateien auf diesem Datenträger für jeden verfügbar, der normalerweise Zugriff auf sie hätte.
  • LUKS ist nicht gut geeignet für Szenarien, in denen viele Benutzer unterschiedliche Zugriffsschlüssel für dasselbe Gerät benötigen. Das LUKS1-Format bietet acht Schlüssel-Slots, LUKS2 bis zu 32 Schlüssel-Slots.
  • LUKS ist nicht gut geeignet für Anwendungen, die eine Verschlüsselung auf Dateiebene erfordern.

Chiffren

Die für LUKS verwendete Standard-Chiffre ist aes-xts-plain64. Die Standard-Schlüsselgröße für LUKS ist 512 Bit. Die Standard-Schlüsselgröße für LUKS mit Anaconda (XTS-Modus) ist 512 Bit. Verfügbare Chiffren sind:

  • AES - Advanced Encryption Standard - FIPS PUB 197
  • Twofish (eine 128-Bit-Blockchiffre)
  • Schlange

Zusätzliche Ressourcen