Abo
  • Services:
Anzeige
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden.
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden. (Bild: Screenshot: Golem.de)

Systemverschlüsselung: Yubikeys Zwei-Faktor-Authentifizierung unter Linux nutzen

Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden.
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden. (Bild: Screenshot: Golem.de)

Mit Hilfe des Yubikeys lässt sich eine verschlüsselte Systempartition unter Linux zusätzlich per Zwei-Faktor-Authentifizierung absichern. In dieser Kombination kann auch ein bequemeres Kennwort genutzt werden.
Von Jörg Thoma

Wer seine Systempartition verschlüsselt, sollte ein möglichst langes und kompliziertes Passwort verwenden. Es bei jedem Neustart einzugeben, kann aber auf Dauer lästig werden. Eine Zwei-Faktor-Authentifizierung mit den Yubikeys Nano, Edge oder Neo erhöht nicht nur die Sicherheit, damit kann auch bedenkenlos ein weitaus kürzeres Passwort verwendet werden.

Anzeige

Ausprobiert haben wir die Anmeldung mit dem Yubikey Neo unter Ubuntu 14.04 LTS und der aktuellen Version 17.2 von Linux Mint, die ebenfalls auf Ubuntu 14.04 basiert. Die dafür benötigten Software-Pakete liegen in entsprechenden PPA-Quellen vor. Prinzipiell funktioniert diese Anleitung auch mit anderen Ubuntu-Versionen oder weiteren Linux-Distributionen. Allerdings muss unter Umständen das entscheidende Paket yubikey-luks selbst kompiliert werden. Cornelius Kölbels Quellcode lässt sich über Github beziehen.

Ubuntu oder Linux Mint verschlüsselt installieren

Zunächst richten wir unsere Ubuntu-Distribution bei der Installation so ein, dass das gesamte System verschlüsselt wird. Diese Option gibt es in der Festplattenkonfiguration des Installers. Das dort vergebene Kennwort sollte möglichst lang sein und viele Sonderzeichen enthalten. Es bleibt auch nach der Einrichtung der Zwei-Faktor-Authentifizierung mit dem Yubikey bestehen und dient als Backup, falls der Schlüssel mal verloren geht. Dieses Hauptkennwort müssen wir bei Einrichtung des Yubikeys noch einige Male eingeben. Danach sollte es notiert und an einem sicheren Ort verwahrt werden.

Nach einem Neustart des frischen Systems lassen wir uns mit dem Befehl sudo lsblk --fs sämtliche Partitionen anzeigen, die bei der Installation von Ubuntu eingerichtet worden sind. Wurde bei der Installation das gesamte System verschlüsselt, tauchen jetzt die Einträge ubuntu--vg-root und ubuntu--vg-swap auf. Beide Partitionen sind standardmäßig unter dem LVM2-Namen sda5_crypt eingerichtet und erhalten den gemeinsamen Gerätenamen sda5. Die dort angezeigte Boot-Partition muss unverschlüsselt bleiben, denn dort liegt das temporäre Dateisystem Initrd mit der Startumgebung. Dort muss später ein Skript für den Yubikey eingebettet werden.

Software muss aus Fremdquellen geholt werden

Mit sudo cryptsetup luksDump /dev/sda5 lässt sich die Verschlüsselungsart feststellen. Dort sind auch die sogenannten Key-Slots zu sehen. Insgesamt gibt es davon sieben. Demnach können jedem verschlüsselten Volume bis zu sieben verschiedene Passwörter zugeordnet werden. In unserem Fall weisen wir später dem Yubikey den letzten Slot mit der Nummer 7 zu.

Zunächst installieren wir aber die dafür benötigte Software. Zwar gibt es bereits die wichtigsten Konfigurationswerkzeuge in den Standardpaketquellen, für die Konfiguration mit Luks müssen wir aber stattdessen zusätzlich zwei Fremdquellen einrichten. Mit

sudo add-apt-repository ppa:privacyidea/privacyidea-dev

und

sudo add-apt-repository ppa:yubico/stable

werden sie unseren Paketquellen hinzugefügt.

Anschließend wird zunächst die Konfigurationssoftware für den Yubikey installiert. Dafür geben wir den Befehl

sudo apt-get install yubikey-personalization

ein. Wer will, kann zusätzlich die grafische Version mit

sudo apt-get install yubikey-personalization-gui

installieren. Anschließend muss noch das Paket yubikey-luks installiert werden.

Konfiguration des Yubikeys und Einrichtung des Systems 

eye home zur Startseite
Shadow27374 13. Jul 2015

Ich habe den Nano und damit funktioniert es!

Shadow27374 13. Jul 2015

Du solltest den Token auch entfernen sobald Du den PC nicht mehr verwendest...

FreiGeistler 12. Jul 2015

Toll, Danke! : )

ul mi 11. Jul 2015

Das verschlüsselte Keyfile auf einem USB-Stick kannst du kopieren. Der Vorteil von...

Heinzel 10. Jul 2015

Ja gut. Bei meiner USB-Stick Lösung ist es ja auch Besitz. Das Keyfile was auf dem...



Anzeige

Stellenmarkt
  1. Kommunales Rechenzentrum Niederrhein, Kamp-Lintfort
  2. B. Braun Melsungen AG, Melsungen, Tuttlingen
  3. Ratbacher GmbH, Aschaffenburg (Home-Office)
  4. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe


Anzeige
Spiele-Angebote
  1. ab 59,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€ (Vorbesteller-Preisgarantie)
  3. 18,99€

Folgen Sie uns
       


  1. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  2. Kubic

    Opensuse startet Projekt für Container-Plattform

  3. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1

  4. Displayweek 2017

    Die Display-Welt wird rund und durchsichtig

  5. Autonomes Fahren

    Neues Verfahren beschleunigt Tests für autonome Autos

  6. Künstliche Intelligenz

    Alpha Go geht in Rente

  7. Security

    Telekom-Chef vergleicht Cyberangriffe mit Landminen

  8. Anga

    Kabelnetzbetreiber wollen schnelle Analogabschaltung

  9. Asus

    Das Zenbook Flip S ist 10,9 mm flach

  10. Hate Speech

    Facebook wehrt sich gegen Gesetz gegen Hass im Netz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Matebook X und E im Hands on: Huawei kann auch Notebooks
Matebook X und E im Hands on
Huawei kann auch Notebooks
  1. Matebook X Huawei stellt erstes Notebook vor
  2. Trotz eigener Geräte Huawei-Chef sieht keinen Sinn in Smartwatches
  3. Huawei Matebook Erste Infos zu kommenden Huawei-Notebooks aufgetaucht

Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

  1. Re: Ein Auto steht 22h am Tag irgendwo rum

    haltoroman | 13:53

  2. Re: "Hass im Netz" klingt nach Zensur für mich

    ibsi | 13:53

  3. Re: Interessant zu wissen wäre

    werpu | 13:52

  4. Re: Funktioniert ja auch super

    /mecki78 | 13:51

  5. Re: Künstliche Intelligenz

    Frank... | 13:51


  1. 13:56

  2. 12:54

  3. 12:41

  4. 11:58

  5. 11:25

  6. 10:51

  7. 10:50

  8. 10:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel