LUKS/Cryptsetup mit Hardware-Dongle (kein FIDO, kein KeyFile)

DukeNucEm

New Member
Nov 23, 2024
1
0
1
Hallo zusammen.
Total "OT", aber vielleicht hat ja einer eine Idee / sowas schon mal gesehen.
Ich kann's nicht g**glen, weil immer nur Ansätze mit "USB Stick" und "Keyfile" dabei raus kommen. Will ich aber nicht ;-)

Was will ich? Home Server für den Fall des Hardware-klaus sichern. Dieb kommt, nimmt einfach den NUC mit, SSDs darin sind aktuell unverschlüsselt. Wenn ich das umbaue auf volle Verschlüsselung soll die Kiste ohne SSH-Login booten & entschlüsseln, sofern ein bestimmtes USB-Device dran steckt. Kein USB-Speicher-Stick mit Key-File, sondern ein Stück "unrelated hardware".
- Ich habe für's Smarthome "controller sticks" (zigbee & homematic RF). Der eine hängt wegen besserer Sendeleistung aus dem Keller an einer simplen passiven USB-Verlängerung und seine Antenne steckt in einem Deckendurchbruch (Betondecken...). Fragt nicht, hat sich so ergeben, funktioniert seit Jahren.
- Nun würde ich den Stick da einfach "festdübeln" (nein, natürlich kein Loch in die Platine bohren...Profi am Werk, hier ;-)) . Den Stick nimmt dann sicher kein Dieb in Eile mit indem er erst Schrauben aus der Wand dreht.
- Der Stick ist aber kein normaler USB-Speicher, also kann ich kein Keyfile drauf legen.
- Also denk' ich mir: Ich müsste doch nur die Seriennummer des USB-Sticks als Key in einen "Slot" von luks/cryptsetup schreiben (wo man sonst einen key rein schreibt).
- Dann mit einem script im initramfs mit ein bissel Magie aus "lsusb", "grep", "/bin/udevadm info" die Seriennummer des Sticks zur Boot-Zeit auslesen und als key an die Partitionen übergeben.
- Die gewünschte Seriennummer selbst steht nirgends, nicht mal in dem script, ich schreibe sie nur einmal händisch beim Setup der Partitionen in den entsprechenden Slot.
- Der Dieb kann also allein anhand des Unlock-Sripts nur verstehen, was es tut... und wenn er's kapiert, müsste er wiederkommen und den Stick von der Wand schrauben. Wohl kaum :)

Ist sowas schon mal jemandem über den Weg gelaufen?

PS: Klar, ich könnte auch den NUC an der Wand festschrauben... aber da macht sich vielleicht einer die Mühe 4 Bolzen rauszudrehen, weil er denkt: Mensch, wenn das so gesichert ist, ist das erst recht wertvoll. Beim Antennen-Stick: Okay, aha, naja, smarthome-Antennen-Gedöns, keine 3 Euro wert. Kabel ab, NUC mitnehmen, aber den Stick doch nicht...
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!