class: center, middle # Achtung: Sicherheitscheck ![img33r](schloss.png) ## LUKS-Container jetzt prüfen! ### Hauke Goos-Habermann #### https://goos-habermann.de --- ### Über mich - Entwickler des
Softwareverteilungssystems m23
- Organisator der
Kieler Open Source und Linux Tage
-
Dienstleister zu m23, Linux und Freier Software
- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...) - Administration - Schulungen - Support - Beratung - quasi **alles**, *was mit Linux zu tun hat* - Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides - Community-Video-Serie *"Nicht der Weisheit letzter Schluß"* auf
tube.tchncs.de
und
YouTube
mit **beruflichen** oder **privaten Projekten** - Nutzt Debian seit 2002 --- #### PBKDF2 * **Schwierigkeit** (Interationen) richtet sich nach der **Hardware auf der der LUKS-Container erstellt** wurde * Angriff durch **Grafikkarten** oder **Field Programmable Gate Arrays** (FPGA) kostengünstig/schnell * Geringer RAM-Bedarf, daher **Brute-Force-** und **Wörterbuch-Angriffe** gut parallelisierbar #### Argon2i * Sicherer gegen **
Seitenkanalattacken
**. Hierbei wird das **Verhalten** eines Algorithmus' bei der Ausführung **beobachtet** (z.B. CPU-Auslastung, Stromverbrauch oder Zeitverhalten), um **Rückschlüsse** auf das *Geheimnis* oder andere schützenswerte Informationen zu **ziehen**. #### Argon2id * Hybrid-Algorithmus * **Seitenkanalattackenschutz** * Größere Speichernutzung, daher **widerstandsfähiger** gegen **GPU** und **FPGA** --- ### LUKS1 auf LUKS2 umstellen LUKS1 unterstützt nur PBKDF2 und SHA-256 als Schlüsselableitungsfunktionen (**K**ey **D**erivation **F**unction). Daher muß auf LUKS2 umgestellt werden, um Argon2id zu nutzen. Informationen auf: https://mjg59.dreamwidth.org/66429.html ```bash # Sicherung des LUKS-Headers auf einem eingehängten USB-Stick ablegen cryptsetup luksHeaderBackup /dev/XXX --header-backup-file\ /media/usb-Stick/luksheader # LUKS-Header auf LUKS2 umstellen cryptsetup convert /dev/XXX --type luks2 # System neu starten reboot # Wenn System nicht mehr bootet, von einem Live-Linux starten und den # LUKS-Header wiederherstellen cryptsetup luksHeaderRestore /dev/XXX --header-backup-file\ /media/usb-Stick/luksheader ``` --- ### Skript Ich habe Euch das Skript **
luksTest.sh
** geschrieben, das alle LUKS-Geräte und -Partitionen **überprüft**, ob diese **LUKS1** oder **LUKS2** verwenden. Wenn Ihr noch **LUKS1** verwendet, müßt Ihr **per Hand** ran und wird ein anderer Hashalgorithmus als **Argon2id** gefunden, könnt Ihr mit dem Skript gleich auf Argon2id aktualisieren. PS Das Skript müßt Ihr mir root-Rechten aufrufen. **Ausführen – wie immer – auf Euer eigenes Risiko!** --- ### Mehr Informationen Status * Debian 11: LUKS2 + Argon2i * Debian 12: LUKS2 + Argon2id * Ubuntu 22.04: LUKS2 + Argon2id Vor- und Nachteile von LUKS-Szenarien * https://wiki.archlinux.org/title/dm-crypt/Encrypting_an_entire_system --- class: center, middle ### Informationen zu mir und meinen Dienstleistungen, m23, ... ### https://goos-habermann.de