Show threadPaula Gentle on Friendica4d ago

Die ersten Tests gelten dem primären Ziel: weitere Redundanz an sicherem Ort.

Dazu wurde zuerst mal der #YubiKey initialisiert mit HMAC-SHA1 und sichergestellt, dass ich damit auch an mein #KeePassXC ran komme. ✅

Dann wurde der #FIDO2 Hash in dem #LUKS - verschlüsselten #LVM via #systemd abgelegt und testweise damit gebootet. ✅

Die Initialisierung von #TOTP muss ich aufschieben, aber diese Einträge aus KeePassXC zu klonen, hatte ich die Tage erst noch getestet. Das wird klappen.

Bis hierhin sieht es gut aus. Als nächstes kommt #NFC, das ist für mich Neuland...

Maxi 12x 💉Jun 1
Ein #Plymouth-Update gestern auf #Arch hat mir meine #LUKS-Eingabemaske zerschossen. Die Entsperrung klappte dann nicht mal mehr nach Esc-Drücken. Erst durch Live-System und Nachschlauen, was so an Updates reinkam, kam ich überhaupt auf Plymouth. Dann in Grub mit Drücken von "e" die Parameter "quiet splash" aus der Kernelzeile gelöscht, damit klappte dann wieder LUKS-Entsperrung und Boot.
makepkgJun 1

🔒 Two-layer LUKS vault with Shamir's Secret Sharing (2-of-3) for Arch Linux

▸ Layer 1: LUKS2 + Argon2id, master key reconstructed from any 2 of 3 USB drives
▸ Layer 2: detached header lives inside Layer 1 + separate password → full plausible deniability
▸ Auto-unlock of root partition at boot via mkinitcpio / UKI hooks
▸ Wear-leveled share writing on USB raw partitions

🔗 https://github.com/makepkg/shamirs-luks-system

🤖 AI Translated

#Linux #ArchLinux #LUKS #Cryptography #InfoSec #Privacy #OpenSource

Paula Gentle on FriendicaMay 29

Der Zugriff auf #LUKS / #LVM auf meinem primären Notebook klappt nun mit beiden Yubikeys auch beim Booten, aber das war unter #Fedora 44 schon etwas tricky und ist noch nicht perfekt:

root@j20:~# systemd-cryptenroll /dev/nvme0n1p3 SLOT TYPE 0 fido2 1 password 2 password 3 fido2 4 recovery

Was noch nicht optimal läuft, ist die Eingabe der Passphrase für den Security Token beim Booten, die zwar funktioniert, aber nicht von der normalen Eingabe zu unterscheiden ist. Erst danach wird man zum Berühren des Tokens aufgefordert.

Kein Schimmer, wie man das noch verbessert. Aber das ist Jammern auf hohem Niveau...

#YubiKey #FIDO2 #EncryptItAll #GNU/Linux #security #systemd

Show threadPaula Gentle on FriendicaMay 28

Oops - da war ich gestern Abend wohl etwas unkonzentriert!

Für den Zugriff mit dem zweiten #Yubikey muss dieser auch in einem Slot des #LUKS - Containers registriert sein, dann klappt das auch mit dem Zugriff.

# systemd-cryptenroll /dev/sda1 SLOT TYPE 0 fido2 1 fido2 2 recovery
Paula Gentle on FriendicaMay 27

Und auch der Zugriff auf #LUKS klappt mit beiden Yubikeys. Das war ja einfach...

root@j20:~# systemd-cryptenroll /dev/sda1 SLOT TYPE 1 fido2 2 recovery root@j20:~# systemd-cryptsetup attach testcrypt /dev/sda1 && mount /dev/mapper/testcrypt /mnt && cat /mnt/secure 🔐 Please enter LUKS2 token PIN: ••••••••••••• Asking FIDO2 token for authentication. 👆 Please confirm presence on security token to unlock. 42

#YubiKey #FIDO2 #EncryptItAll #GNU/Linux #security #systemd

NazoMay 22

Ok, another question for #Linux users. I have all my storage on #luks 2 encrypted volumes with #cryptsetup . I like to be able to shut off one harddrive (which is in a bay with a switch.) I had a nice little script to unmount, close the volume, and then put the drive to sleep so I could safely shut it off. But recently cryptsetup has been failing to actually close volumes. I suspect it's because I enabled the KVM module after I ran across this: https://alext.mail.at/post/cryptsetup-close-crypt-fails-with-device-crypt-is-still-in-use So probably a namespace.

The problem is I have no clue how to use that... I can't find whatever is holding it and can't unlock it.

What I really need is something I can put in that script...

I don't really want to disable the KVM module just for that.

EDIT: I have lsof all up the wazoo. It finds nothing.

cryptsetup close CRYPT Fails With "Device CRYPT is still in use." - Alex Debugs!

Alex Debugs!
Show threadAnisseMay 21

I documented how I replaced the Debian crypttab `keyscript` with systemd socket activation:

https://anisse.astier.eu/keyscript-to-socket-activation.html

#systemd #Debian #Ubuntu #LUKS #cryptsetup #perl

Replacing Debian keyscript with systemd socket activation for encrypted volumes - Linux Engineer's random thoughts

In Debian (and Ubuntu), when using a LUKS encrypted volume with cryptsetup, there is a documented option in the manpage for /etc/crypttab called keyscript: it should allow the init system to launch a program and have its standard output used as a key to unlock a volume. But there …

cryptaxMay 21

Mounted my first Luksbox, protected by a Yubikey. Works very well.

Compared to Gocryptfs: you have support for FIDO2 keys.

Compared to veracrypt and truecrypt, the big advantage is you don't have to reserve x Gb for the encrypted partition.

#luks #encrypted #partition #volume #fido #crypt #file #linux

cc: @Penthertz

JoniG59May 19

@ubuntu i recently tried installing kubuntu resolute with encryption and the installer has an error there:

It uses LUKS2 instead of LUKS1

Grub is by default only compartible with LUKS1

For LUKS2 ist a maunal configuration witch dracut neccecary which can be very annoying

I tried that with the help of deepseek and failed i can upload the german AI chats if someone is interested

Please fix that ubuntu team

==============

#ubuntu #kubuntu #luks #linux #grub