table of contents
- bookworm 4.18.1-1
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.24.0-2
SYSTEMD-CRYPTENROLL(1) | systemd-cryptenroll | SYSTEMD-CRYPTENROLL(1) |
BEZEICHNUNG¶
systemd-cryptenroll - PKCS#11-, FIDO2-, TPM2-Token/-Geräte bei LUKS2-verschlüsselten Datenträgern registrieren
ÜBERSICHT¶
systemd-cryptenroll [OPTIONEN…] [GERÄT]
BESCHREIBUNG¶
systemd-cryptenroll ist ein Werkzeug zum Registrieren von Hardware-Sicherheits-Token und -Geräten an LUKS2-verschlüsselten Datenträgern, die dann zum Entsperren des Datenträgers während des Systemstarts verwandt werden können. Es unterstützt insbesondere die Registrierung von Token und Anmeldedaten von folgenden Typen:
Das Werkzeug kann zusätzlich zum Aufzählen derzeit registrierter Sicherheits-Token und dem Löschen einer Teilmenge von ihnen verwandt werden. Letzteres kann mit der Registrieraktion eines neuen Sicherheits-Token kombiniert werden, um Registrierungen zu aktualisieren oder zu ersetzen.
Das Werkzeug unterstützt nur LUKS2-Datenträger, da es die Metainformationen des Tokens in dem LUKS2-JSON-Token-Bereich speichert, der bei anderen Verschlüsselungsformaten nicht vorhanden ist.
EINSCHRÄNKUNGEN¶
Beachten Sie, dass es notwendig ist, wenn ein neuer Schlüssel von einer der fünf oben aufgeführten unterstützten Typen registriert wird, zuerst eine Passphrase oder einen Wiederherstellungsschlüssel bereitzustellen (d.h. einen der letzteren beiden Schlüsseltypen). Beispielsweise ist es derzeit nicht möglich, ein Gerät mit einem FIDO2-Schlüssel zu entsperren, um einen neuen FIDO2-Schlüssel zu registrieren. Um einen neuen FIDO2-Schlüssel zu registrieren, ist es daher notwendig, eine breits registrierte Passphrase oder einen Wiederherstellungsschlüssel bereitzustellen. Falls daher in der Zukunft ein Schlüsselwechsel gewünscht ist, wird im Allgemeinen empfohlen, TPM2-, FIDO2-, PKCS#11-Schlüsselregistrierung mit derRegistrierung einer regulären Passphrase oder eines Wiederherstellungsschlüssels zu kombinieren.
Beachten Sie auch, dass die Registrierung mehrerer FIDO2-Token derzeit nicht sehr nützlich ist, da beim Entsperren systemd-cryptsetup nicht identifizieren kann, welcher Token derzeit eingesteckt ist und daher nicht weiß, welche Authentifizierungsanfrage zu dem Gerät gesandt werden soll. Diese Beschränkung betrifft Token nicht, die mit PKCS#11 registriert wurden, da Token dieser Art sofort (vor der Authentifizierung) identifiziert werden können.
OPTIONEN¶
Die folgenden Optionen werden verstanden:
--password
--recovery-key
--pkcs11-token-uri=URI
Um einen LUKS2-Datenträger mit einem registrierten PKCS#11-Sicherheits-Token zu entsperren, legen Sie die Option pkcs11-uri= in der zutreffenden Zeile in /etc/crypttab fest:
meindatenträger /dev/sda1 - pkcs11-uri=auto
Siehe crypttab(5) für ein umfassenderes Beispiel eines Aufrufs von systemd-cryptenroll und der zugehörigen Zeile in /etc/crypttab.
--fido2-credential-algorithm=ZEICHENKETTE
»es256« bezeichnet ECDSA über NIST P-256 mit SHA-256. »rs256« bezeichnet 2048-bit RSA mit PKCS#1.5-Auffüllung und SHA-256. »eddsa« bezeichnet EDDSA über Curve25519 mit SHA-512.
Beachten Sie, dass Ihr Authentikator nicht alle Algorithmen unterstützen könnte.
--fido2-device=PFAD
Um einen LUKS2-Datenträger mit einem registrierten FIDO2-Sicherheits-Token zu entsperren, legen Sie die Option fido2-device= in der zutreffenden Zeile in /etc/crypttab fest:
meindatenträger /dev/sda1 - fido2-device=auto
Siehe crypttab(5) für ein umfassenderes Beispiel eines Aufrufs von systemd-cryptenroll und der zugehörigen Zeile in /etc/crypttab.
--fido2-with-client-pin=LOGISCH
--fido2-with-user-presence=LOGISCH
--fido2-with-user-verification=LOGISCH
--tpm2-device=PFAD
Um einen LUKS2-Datenträger mit einem registrierten TPM2-Sicherheits-Chip zu entsperren, legen Sie die Option tpm2-device= in der zutreffenden Zeile in /etc/crypttab fest:
meindatenträger /dev/sda1 - tpm2-device=auto
Siehe crypttab(5) für ein umfassenderes Beispiel eines Aufrufs von systemd-cryptenroll und der zugehörigen Zeile in /etc/crypttab.
Verwenden Sie --tpm2-pcrs= (siehe unten), um zu konfigurieren, an welchen TPM2-PCR-Index die Registrierung angebunden werden soll.
--tpm2-pcrs= [PCR…]
Tabelle 1. Gut-bekannte PCR-Definitionen
PCR | Erklärung |
0 | Ausführbarer Code der Kernsystem-Firmware; ändert sich bei Firmware-Aktualisierungen |
1 | Konfiguration der Kernsystem-Firmware-Daten/Rechner-Plattform; enthält typischerweise die Serien- und Modellnummer, ändert sich beim Austausch grundlegender Hardware-/CPU-/RAM-Komponenten |
2 | Erweiterter oder austauschbarer ausführbarer Code; einschließlich Options-ROMs und austauschbarer Hardware |
3 | Erweiterte oder austauschbare Firmware-Daten; einschließlich Informationen über austauschbare Hardware |
4 | Systemstartprogramm und zusätzliche Treiber; Änderungen an Systemstart-Aktualisierungen. Das Shim-Projekt wird das PE-Programm, das es in Folge lädt, in dieses PCR einmessen. Falls der Linux-Kernel als UEFI-PE-Programm aufgerufen wird, wird es hier auch eingemessen. sd-stub(7) misst vom ESP eingelesene Systemerweiterungs-Abbilder hier auch ein (siehe systemd-sysext(8)). |
5 | GPT-/Partitionstabelle; ändert sich, wenn Partitionen hinzugefügt, verändert oder entfernt werden |
6 | Leistungszustandsereignisse; ändern sich beim Suspendieren/Schlafen des Systems |
7 | Sicherer Systemstartzustand; ändert sich, wenn der UEFI-SecureBoot-Modus aktiviert/deaktiviert wird oder sich Firmware-Zertifikate (PK, KEK, db, dbx, …) ändern. Das Shim-Projekt wird die meisten (nicht MOK-) Zertifikate und SBAT-Daten in dieses PCR einmessen. |
9 | Der Linux-Kernel misst alle anfänglichen RAM-Dateisysteme, die es empfängt, in dieses PCR. |
10 | Das IMA-Projekt misst seinen Laufzeitzustand in dieses PCR. |
12 | systemd-boot(7) misst die angegebene Kernelbefehlszeile in dieses PCR. systemd-stub(7) misst die manuell angegebene Kernelbefehlszeile ein (d.h. eine Kernelbefehlszeile, die in dem vereinigten PE-Abbild eingebettet ist, außer Kraft setzt) und lädt die Zugangsberechtigungen in dieses PCR ein. (Beachten Sie, dass die Kernelbefehlszeile zweimal eingemessen werden könnte, wenn sytemd-boot und systemd-stub in Kombination verwandt werden!) |
14 | Das Shim-Projekt misst seine »MOK«-Zertifikate und -Hashes in dieses PCR. |
Für die meisten Anwendungen sollte es ausreichen, sich gegen PCR 7 zu binden (und möglicherweise PCR 14, falls Shim/MOK gewünscht ist), da dies die Messung zuverlässiger Zertifikate (und möglicherweise Hashes) einschließt, die zum Validieren aller Komponenten des Systemstartprozesses bis hin (und einschließlich) des Betriebssystemkerns verwandt werden. Um Firmware- und Betriebssystemaktualisierungen zu vereinfachen, ist es typischerweise nicht empfehlenswert, PCRs wie 0 und 2 in das Einbinden bei der Registrierung aufzunehmen, da der von ihnen abgedeckte Programm-Code bereits indirekt über die in PCR 7 eingemessenen Zertifikate geschützt sein sollte. Prüfung über diese Zertifikate ist typischerweise gegenüber der Validierung über direkte Messung zu bevorzugen, da es im Zusammenhang mit Betriebssystem-/Firmware-Aktualisierungen weniger zerbrechlich ist: die Messung ändert sich bei jeder Aktualisierung, aber Code-Signaturen werden sich wahrscheinlich auch mit bereits existierenden Zertifikaten validieren.
--tpm2-with-pin=LOGISCH
Beachten Sie, dass eine inkorrekte PIN-Eingabe beim Entsperren den TPM-Wörterbuch-Sperrmechanismus erhöht und Benutzer für eine längere Zeit aussperren könnte, abhängig von seiner Konfiguration. Der Sperrmechanismus ist eine globale Eigenschaft des TPM, systemd-cryptenroll steuert oder konfiguriert den Sperrmechanismus nicht. Sie können die tpm2-tss-Werkzeuge zur Untersuchung oder Konfiguration des Wörterbuch-Sperrmechanismus mit den Befehlen tpm2_getcap(1) bzw. tpm2_dictionarylockout(1) verwenden.
--wipe-slot= [POSITION…]
Dieser Schalter kann alleine verwandt werden. In diesem Fall wird nur die angefragte Bereinigungsaktion ausgeführt. Er kann auch in Kombination mit einer der oben aufgeführten Registrierungsoptionen verwandt werden. In diesem Fall wird zuerst die Registrierung abgeschlossen und nur wenn das erfolgreich war, wird die Bereinigungsaktion ausgeführt — und die frisch hinzugefügte Position wird immer von der Bereinigung ausgeschlossen. Die Kombination von Registrierung und Positionsbereinigung kann daher zur Aktualisierung bestehender Registrierungen verwandt werden:
systemd-cryptenroll /dev/sda1 --wipe-slot=tpm2 --tpm2-device=auto
Der obige Befehl wird den TPM2-Chip registrieren und dann alle vorher erstellten TPM2-Registrierungen auf dem LUKS2-Datenträger bereinigen, wodurch nur die frisch erstellte verbleibt. Die Kombination von Bereinigung und Registrierung kann auch zum Ersetzen der Registrierung von verschiedenen Typen verwandt werden, beispielsweise zum Ändern einer PKCS#11-Registrierung auf eine FIDO2-Registrierung:
systemd-cryptenroll /dev/sda1 --wipe-slot=pkcs11 --fido2-device=auto
Oder zum Ersetzen eines registrierten leeren Passworts durch TPM2:
systemd-cryptenroll /dev/sda1 --wipe-slot=empty --tpm2-device=auto
-h, --help
--version
EXIT-STATUS¶
Bei Erfolg wird 0 zurückgegeben, anderenfalls ein Fehlercode ungleich Null.
SIEHE AUCH¶
systemd(1), systemd-cryptsetup@.service(8), crypttab(5), cryptsetup(8)
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
systemd 251 |