Dracut - Mehrere verschlüsselte Partitionen, gleiches Kennwort

[antu]

Ich habe meine Systempartition und meine Datenpartition mit LUKS verschlüsselt. Beide Partitionen haben das gleiche Kennwort/Keyfile.

Ich möchte/muss die beiden Partitionen vor dem eigentlichen Startvorgang mit einem initramfs entschlüsseln. Bisher habe ich dafür ein selbst gebasteltes initramfs-Image verwendet. Das hat eigentlich auch immer recht gut funktioniert, aber stößt sehr schnell an seine Grenzen wenn irgendwas nicht genau so ist wie es sein sollte. Und da ich auf allen anderen Systemen Dracut verwende, würde ich das auf diesem Rechner auch gerne tun.

Ich habe es jetzt sowohl damit versucht, das Kennwort manuell einzugeben, als auch die Partitionen mittels GPG-Keyfile zu entschlüsseln. Das Problem: Ich muss das Kennwort immer 2x eingeben, es wird also nicht zwischengespeichert. Habe ich da irgendeine Einstellung vergessen, oder geht das einfach nicht?

/etc/dracut.conf
[src=text]logfile=/var/log/dracut.log
fileloglvl=6
add_dracutmodules+="crypt crypt-gpg lvm mdraid syslog"
mdadmconf="yes"
lvmconf="yes"[/src]

/etc/default/grub
[src=text][...]
GRUB_CMDLINE_LINUX="rd.md=0 rd.luks.key=/david-desktop.key.gpg:UUID=436b413e-fc61-43b2-821a-19a21a900d73 rd.luks.allow-discards rd.luks.uuid=luks-56333fb6-c225-4896-bf9b-6a84e00ab329 rd.luks.uuid=luks-15662ab8-5371-4df7-85a5-919f625d3f90 rd.lvm.lv=newsystemvg/root rd.lvm.lv=storage/lv1 root=/dev/mapper/newsystemvg-root rootflags=rw,noatime,data=ordered rootfstype=ext4"
[...][/src]

 

[Asseon]

zu erst einmal ist es keine gute Idee zwei Partitionen mit dem selben key zu haben.

außerdem warum mountest du die Datenpartition nicht über crypttab?
damit würdest du dier das ganze rumgeschwurbel im initramfs sparen

 

[antu]

Wieso ist es keine gute Idee, zwei Partitionen mit dem gleichen Schlüssel zu haben?

crypttab wäre wohl eine Möglichkeit für die Datenpartition, darauf wird es wohl auch hinauslaufen, denn bis jetzt habe ich keine andere Möglichkeit gefunden.

 

[Asseon]

nun in diesem Einsatzgebiet mag sich die Relevanz in grenzen halten aber wenn zu viele Daten mit dem selben key verschlüsselt werden sind Rückschlüsse auf den key möglich


wenn du eh mit crypttab arbeitest, würde ich, als key für die Datenpartition, einfach ein keyfile nehmen, welches du auf der verschlüsselten root Partition in einem Ordner parkst auf den nur root Leserechte hat

das keyfile würde ich mithilfe von /dev/random bzw. /dev/urandom erzeugen.

 

[antu]

Hast du dafür eine Quelle? Wäre mir neu, dass Rückschlüsse auf den Schlüssel möglich sind, wenn man "zu viele" Daten damit verschlüsselt. Das einzige mir bekannte Problem das in die Richtung geht ist die Verwendung des "plain"-Initialisierungsvektors bei Partitionen größer als 2 TiB, da bei diesem nur die ersten 32 Bit verwendet werden und sich der IV daher ab 2 TiB wiederholt. Ich benutze aber eh überall plain64 (und XTS als Betriebsmodus).

 

[Asseon]

schau dir dazu einfach mal das Thema Kryptoanalyse bei Blockchiffren an

 

[foobar]

Du hast mehrere Keyslots. Sprich leg doch einfach einen Key dafür an mit dem die weitere Partition eingebunden wird. Passwort kannst du ja in einen anderen Keyslot legen.

 

[antu]

schau dir dazu einfach mal das Thema Kryptoanalyse bei Blockchiffren an

Das ist doch ein recht breites Themengebiet. Und zumindest in den cryptsetup FAQs und diversen Wikipedia-Artikeln habe ich nichts dazu gefunden, dass es problematisch sein könnte das gleiche Kennwort bei mehreren Partitionen zu verwenden bzw. viele Daten damit zu verschlüsseln. Hast du vielleicht irgendeinen Link/konkreten Artikel, wo das erklärt wird?