Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren

To: debian-user-german@lists.debian.org
Subject: Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sat, 23 Mar 2019 11:48:45 +0100
Message-id: <[🔎] E1h7eCj-0000AC-2w@drop.zugschlus.de>
In-reply-to: <[🔎] 20190322222934.32eiinykvw25once@jumper.schlittermann.de>
References: <[🔎] ed98a26e-9edf-0a48-d9ee-f6f423aaaa30@mailsnap.eu> <[🔎] 20190322144916.eaou5rcgptlifsk4@jumper.schlittermann.de> <[🔎] f9741e5e-354e-4785-ec53-194548e78f4e@stefanbaur.de> <[🔎] 20190322183830.GE23781@pfmaster-P170EM> <[🔎] 20190322222934.32eiinykvw25once@jumper.schlittermann.de>

On Fri, 22 Mar 2019 23:29:34 +0100, Heiko Schlittermann
<hs@schlittermann.de> wrote:
>Peter Funk <pf@artcom-gmbh.de> (Fr 22 Mär 2019 19:38:30 CET):
>> im Sinn, die ihre Festplatten nur deshalb verschlüsseln wollen,
>> weil das die datenschutzkonforme Entsorgung der Datenträger
>> später deutlich vereinfacht.  Es muss dann nur noch der zu
>…
>
>Dafür kann man den Luks-Key auch auf einen sehr kleinen USB-Stick legen,
>und den im den Rechner stecken lassen. Oder in die initramfs direkt
>eintragen und beim Booten verwenden (wobei man genau letzteren nicht
>mehr löschen kann, wenn die Platte behauptet, kaputt zu sein).
>
>Für die Luks-Passphrase kann man Script hinterlegen, und so ein
>Script kann dann auf den Stick zugreifen und den Key auslesen. Ist mit
>wenigen Zeilen Shellscript getan. Das läuft auf einigen unserer Server
>seit geraumer Zeit problemarm.

Die Argumentation, den Rechner aus der Ferne zum Nichtbooter nachen zu
können, kann ich nachvollziehen.

Was übrigens auch geht, ist das TPM als Keystore für LUKS zu
verwenden. Damit wird die Platte quasi mit dem Mainboard verheiratet.
Für den Fall des Hardwareversagens hat man dann in einem zweiten
LUKS-Keyslot einen ganz ekelhaften Key.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: Uwe Kleine-König <uwe@kleine-koenig.org>

References:
- Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: mxbode <matthias@mailsnap.eu>
- Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: Stefan Baur <newsgroups.mail2@stefanbaur.de>
- Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: Peter Funk <pf@artcom-gmbh.de>
- Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
  - From: Heiko Schlittermann <hs@schlittermann.de>

Prev by Date: Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
Next by Date: Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
Previous by thread: Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
Next by thread: Re: Verschlüsselten Server/Client mittels SSH-Client automatisch entsperren
Index(es):
- Date
- Thread