Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.
VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern
VeraCrypt: Erstellung eines verschlüsselten Containers
Sogenannte verschlüsselte Container sind eine einfache Möglichkeit Daten sicher aufzubewahren. Dabei handelt es sich um eine spezielle verschlüsselte Datei fester Größe. Diese Datei, also der Container, kann per Passwort und/oder Schlüseldatei entschlüsselt und als virtuelles Laufwerk ins Dateisystem eingebunden werden.
In diesem Beitrag zeige ich euch, wie sich mit VeraCrypt so ein verschlüsselter Container erstellen lässt.
VeraCrypt: Schlüsseldatei (Keyfile) mit YubiKey verwenden
Zum Ver- und Entschlüsseln von VeraCrypt-Volumes können neben einem Passwort auch sogenannte Schlüsseldateien (Keyfiles) zur Erhöhung der Sicherheit verwendet werden. Die Schlüsseldatei (es können theoretisch auch mehrere sein) kann dann z.B. auf einem USB-Stick, oder einem Hardware-Security-Token gespeichert werden. In diesem Beitrag zeige ich euch wie ihr eure Schlüsseldatei auf einem YubiKey speichern könnt. Zum Entschlüsseln des VeraCrypt-Volumes muss dann immer der YubiKey eingesteckt sein und per PIN die Schlüsseldatei freigegeben werden.
Verschlüsselte VeraCrypt-Container mit dm-crypt öffnen
Eine mit VeraCrypt verschlüsselte Containerdatei lässt sich ohne Weiteres mit dm-crypt bzw. cryptsetup öffnen. Welche Befehle ihr dafür benötigt, erfahrt ihr in diesem Beitrag.