Luks1 zu luks2 konvertieren

Veröffentlicht am 16. Juni 2020 | Comments

Meine Rechner sind mittels cryptsetup und luks verschlüsselt. Bei meinem Notebook habe ich das schon vor Jahren gemacht, sodass hier immer noch luks in Version 1 verwendet wird. Bei luks in Version 2 wird allerdings Argon2 verwendet, was einen Angriff mittels Brute Force erheblich erschwert.

Wie kann man nun auf Version 2 wechseln ohne die Partitionen neu verschlüsseln zu müssen?

Als Erstes sollte man überprüfen, ob man nicht schon Version 2 nutzt. Dies erreicht man mit folgendem Befehl:

cryptsetup luksDump /dev/sda2 | grep -A1 "^LUKS"

Anstelle von /dev/sda2 muss man seine verschlüsselte Partition angeben. Dies gilt auch für alle weiteren Befehle. Wird hiermit Version: 2 angezeigt kann man sich weitere Schritte sparen. Wenn Version: 1 angezeigt wird, geht es weiter und man sollte man als Erstes den Header sichern. Denn geht etwas schief, kommt man nicht wieder an seine Daten. Zum Sichern führt man folgenden Befehl aus:

cryptsetup luksHeaderBackup /dev/sda2 --header-backup-file sicherung.dat

Die Datei sicherung.dat kopiert man anschließend auf einen USB-Stick oder auf einen anderen Rechner, da dies neben der Datensicherung (die natürlich jeder regelmäßig erstellt…) unsere Versicherung ist.

Nun geht es ans Eingemachte. Der folgende Befehl konvertiert luks 1 zu luks 2.

cryptsetup convert /dev/sda2 --type luks2

Nun nutzt die verschlüsselte Partition luks 2. Allerdings wird für das Passwort erst einmal nicht Argon2 verwendet, sondern das was man ursprünglich angegeben hat. In meinem Fall pbkdf2. Also ist noch ein Befehl nötig um dies zu ändern.

cryptsetup luksChangeKey /dev/sda2 --pbkdf argon2id

Hierbei wird man aufgefordert sein bisheriges und ein neues Passwort einzugeben. Es ist aber auch möglich als neues Passwort erneut sein altes Passwort einzugeben.

Ein abschließender Test mittels cryptsetup luksDump /dev/sda2 sollte nun zum einen Version: 2 als auch die Verwendung von Argon2id anzeigen. Nutzt man mehrere Schlüssel, muss man den Befehl mit luksChangeKey für jeden Schlüssel wiederholen.

Funktioniert nach einem Neustart des Rechners alles wie gewohnt, sollte man vorsichtshalber noch die Header-Sicherung löschen.

OSBN | Linux

Cryptsetup | Luks

Hinweis

Ich behalte es mir vor, Kommentare nicht freizuschalten. Die Freischaltung von Kommentaren kann zudem mehrere Tage dauern.

Fehler

Die Kommentarfunktion kann nur mit aktiviertem Javascript genutzt werden.