LUKS Passphrase ändern

Mit LUKS (Linux Unified Key Setup) lassen sich unter Linux standardmäßig Festplatten verschlüsseln. Für den Schutz der verschlüsselten Daten ist eine starke Passphrase zwingend erforderlich. Diese sollte wie jedes Passwort auch mal von Zeit zu Zeit geändert werden. Die Änderung der LUKS Passphrase lässt sich direkt über ein Terminal durchführen. Dazu muss das verschlüsselte Device bekannt sein. Denn dies muss bei der Aktion mit angegeben werden. Mit LUKS ist es möglich, bis zu 8 Passphrases für ein Laufwerk zu vergeben. Diese werden in eigenen Slots abgelegt.


Die Informationen über das verschlüsselte Laufwerk inklusive der mit Passphrases verwendeten Slots lassen sich wie folgt anzeigen. Das Gerät „/dev/sda5“ muss natürlich an das eigene Laufwerk angepasst werden.

sudo cryptsetup luksDump /dev/sda5

LUKS Passphrase Passwort

Wenn nur die Slots interessant sind, lässt sich die Ausgabe auch ein wenig beschränken.

sudo cryptsetup luksDump /dev/sda5 |grep ABLED

LUKS Passphrase Passwort

Nun kann die Passphrase eines gewählten Slots geändert werden. Natürlich muss hierzu erstmal die aktuell verwendete eingegeben werden.

sudo cryptsetup luksChangeKey /dev/sda5 -S 1

LUKS Passphrase Passwort

Ebenso lassen sich auch eine weitere LUKS Passphrases hinzufügen. Hierzu muss auch vorab eine bereits bestehende Passphrase angegeben werden, damit das Hinzufügen funktioniert.

sudo cryptsetup luksAddKey /dev/sda5

LUKS Passphrase Passwort

Eine erneute Abfrage zeigt an, dass nun bereits mehrere Slots belegt sind.

sudo cryptsetup luksDump /dev/sda5 |grep ABLED

LUKS Passphrase Passwort

Soll die Passphrase eines bestimmten Slots gelöscht werden, kann dies mit „luksKillSlot“ durchgeführt werden. Hierbei ist es natürlich sinnvoll zu wissen, welche Passphrase sich dahinter verbirgt. Beim Löschen wird eine beliebig vorhandene Passphrase abgefragt.

sudo cryptsetup luksKillSlot /dev/sda5 0

LUKS Passphrase Passwort

Selbstverständlich lässt sich auch eine gewählte LUKS Passphrase löschen, indem die zu löschende direkt eingegeben wird.

sudo cryptsetup luksRemoveKey /dev/sda5

Mit den hier gezeigten Befehlen ist es sehr einfach möglich, seine LUKS Laufwerke zu verwalten. Somit lassen sich regelmäßig die verwendeten Passwörter bzw. Passphrases ändern. Ebenso lassen sich bei Bedarf für unterschiedliche Benutzer dedizierte Passphrases vergeben. Somit können mehrere Anwender auf ein verschlüsseltes Laufwerk zugreifen ohne die Passphrase des anderen zu kennen.

Quelle: https://unix.stackexchange.com/questions/252672/how-do-i-change-a-luks-password/252703#252703