Linux: Wann und wie man LUKS-Header aktualisieren sollte
Linux-Nutzer, die Speicher mit LUKS verschlüsseln, sollten einen Blick aufs Setup werfen. Denn ältere LUKS-Container entsprechen oft nicht den Empfehlungen.
So sieht es idealerweise aus: LUKS in Version 2 und die KDF argon2id mit passenden Parametern.
Datenträger verschlüsselt man unter Linux üblicherweise mithilfe von LUKS, dem Linux Unified Key Setup. Obwohl LUKS schon 2004 entstand und obwohl sich zwischenzeitlich sowohl Angriffe als auch der Stand der Technik deutlich weiterentwickelt haben, blieb es durch eine Reihe von Verbesserungen und Änderungen der Standardeinstellungen sicherheitstechnisch auf der Höhe der Zeit. Davon profitieren allerdings nur neue LUKS-Container ohne Weiteres. Die Parameter vorhandener Container werden nicht automatisch angepasst, weshalb alte Container aus heutiger Sicht oft nicht optimal eingestellt sind.
Relevante Verbesserungen gab es in letzter Zeit bei Schlüsselableitungsfunktionen (key-derivation function, KDF). Wie der Name nahelegt, dienen diese Funktionen dazu, aus einem Passwort den eigentlichen Schlüssel zu generieren. Das tun sie möglichst rechen- und speicherintensiv, um Brute-Force- und Wörterbuch-Angriffe zu erschweren: Massenhaft Passwörter auszuprobieren, wird unerträglich langwierig, wenn jede Schlüsselableitung ein, zwei Sekunden dauert. Nutzer, die in der Regel nur ein – korrektes – Passwort eingeben, stört die kurze Wartezeit hingegen kaum.
Ältere LUKS-Container nutzen die Schlüsselableitungsfunktion PBKDF2 (password-based key derivation function 2). Wie bei anderen KDFs kann man einstellen, wie viel Rechenaufwand die Funktion erfordert, indem man festlegt, wie viele Iterationen die Funktion intern durchlaufen muss. Allerdings benötigt PBKDF2 nur wenig RAM, weshalb potenzielle Angreifer ihre Berechnungen gut mit Grafikchips oder spezialisierter Hardware beschleunigen können, was den Nutzen der Ableitungsfunktion verringert.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann
Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich
Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten
Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest
Virtualisierungsoftware: Alternativen zu VMware
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Wie eine lokale KI die Fotosammlung auf dem NAS verschlagworten kann
Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich
Eigene Domain für zu Hause: Reverse-Proxy auf dem Raspberry Pi einrichten
Im Test: Zehn USB-SSDs und -Sticks mit 1 oder 2 TByte Speicherplatz
Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest