Intelligente Lösungen
in neuer Dimension

Festplattenverschlüsselung auf anderem Rechner prüfen

Alle meine Festplatten sind generell verschlüsselt. Manchmal möchte ich, dass Leute, die keinen Zugriff auf die jeweiligen Rechner haben, prüfen, ob die verwendeten Kennworte mit denen aus dem Notfall-KeepassXC-Speicher übereinstimmt. Hier beschreibe ich, wie das geht.

Vorabhinweis

Die Daten des Plattenbeginns müssen unter Verschluss gehalten werden! Mit ihnen könnte ein Dritter versuchen, das Festplattenkennwort des betroffenen Rechners zu erraten. Das wollen wir ausschließen!

Daten abziehen vom Rechner mit der Festplatte

Diesen Teil muß ich selbst machen!

Ermitteln: Welche Platte ist die verschlüsselte?

1
2
3
4
5
6
7
8
9
10
11
12
13

$ lsblk -a -e 7
NAME                    MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                       8:0    0 238,5G  0 disk  
├─sda1                    8:1    0   100M  0 part  /boot/efi
├─sda2                    8:2    0   128M  0 part  
├─sda3                    8:3    0  32,6G  0 part  
├─sda4                    8:4    0     2M  0 part  
├─sda5                    8:5    0   768M  0 part  /boot
└─sda6                    8:6    0 204,9G  0 part  
  └─sda6_crypt          253:0    0 204,9G  0 crypt 
    ├─ubuntu--vg-swap_1 253:1    0     4G  0 lvm   [SWAP]
    ├─ubuntu--vg-root   253:2    0    20G  0 lvm   /
...

In obigem Beispiel ist die Platte “sda6” die verschlüsselte. Es ist diejenige, die die “crypt”-Platte (rechts!) enthält!

Plattenbeginn abziehen und kopieren

1
2
3

$ cd /tmp
$ dd if=/dev/sda6 of=sda6.out bs=1024k count=2
$ xz -9 sda6.out

Der Plattenbeginn ist nun gespeichert in “/tmp/sda6.out.xz”. Diese Datei kopiere ich auf einen anderen Rechner und lösche anschließend das Original.

Verschlüsselungsprüfung mit Plattenbeginn

Diesen Teil können auch Kollegen durchführen! Ich übermittle dem Kollegen dazu:

  • den Plattenbeginn
  • den Namen des Rechners, von dem der Plattenbeginn stammt
  • den Notfall-KeePassXC-Speicher

Ermitteln des Festplattenkennworts

Sichte den Notfall-KeePassXC-Speicher!

Plattenbeginn abspeichern

Der Plattenbeginn muß letztlich in “/tmp” abliegen!

Plattenbeginn entkomprimieren

1
2

$ xz -d /tmp/sda6.out.xz
$ chmod 400 /tmp/sda6.out

Kennwort prüfen

1
2
3
4

$ cd /tmp
$ sudo LANG=C cryptsetup open /tmp/sda6.out tst-crypt
[sudo] Passwort für uli: (uli-kw)
Enter passphrase for /tmp/sda6:

Beispiel für richtiges Kennwort

1
2
3
4

$ sudo LANG=C cryptsetup open /tmp/sda6.out tst-crypt
[sudo] Passwort für uli: (uli-kw)
Enter passphrase for /tmp/sda6: (richtiges-kw)
Requested offset is beyond real size of device /tmp/sda6.

Diese Fehlermeldung am Ende ist ein gutes Zeichen!

Beispiel für falsches Kennwort

1
2
3
4
5

$ sudo LANG=C cryptsetup open /tmp/sda6.out tst-crypt
[sudo] Passwort für uli: (uli-kw)
Enter passphrase for /tmp/sda6: (falsches-kw)
No key available with this passphrase.
Enter passphrase for /tmp/sda6:

Plattenbeginn löschen

1

$ rm -f /tmp/sda6.out*

Historie und Anmerkung

  • 2021-06-23: Erste Version