LUKS Decryptie met Yubikey
Hiervoor hebben we de toepassing Yubikey-Luks nodig: $ sudo apt install yubikey-luks
- Zorg ervoor dat configuratie slot 2 vrij is (anders verlies je een bestaande configuratie)
- Zorg ervoor dat de YubiKey niet beveiligd is met een access code (deze moet je indien nodig uitschakelen met het pakket : yubikey-personalization-gui) anders kan het nieuwe wachtwoord niet geschreven worden.
Om de YubiKey klaar te maken voor gebruik plaats je deze in een USB poort en voer je het volgende commando uit: $ ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible
de computer zal nu het volgende weergeven :
De key is bij mijn weten willekeurig gekozen, dus als je dit bij meer dan 1 YubiKey doet moet je deze ook allemaal toevoegen om ze te kunnen gebruiken.
Als antwoord op Commit geef je Y in.
De YubiKey is nu klaar voor gebruik.
Om de YubiKey toe te voegen gebruiken we het yubikey-luks-enroll script in /usr/bin/yubikey-luks-enroll
Let op dat het mogelijk is dat je dit bestand een beetje moet aanpassen om het te laten werken. Kopieer daarom dit bestand naar jouw $HOME directory en bewerk het indien nodig.
- De LUKS partitie /dev/sda3 is (dit is standaard bij Debian, maar het wijkt soms af)
- Het Slot dat we gebruiken, Slot 7 is
- We een bestaand slot niet overschrijven.
De eerste regels van het script zien er als volgt uit:
Als we maar 1 YubiKey gebruiken, het de eerste keer is en de LUKS partitie /dev/sda3 is kunnen we het script gewoon uitvoeren. $ sudo yubikey-luks-enroll
In mijn geval is slot 7 al in gebruik voor mijn Primaire YubiKey en ga ik slot 5 gebruiken (slot 7 is het hoogste dus 8 werkt niet, en lager dan 5 ben ik niet geweest, maar het is dus mogelijk om tenminste 3 verschillende YubiKeys te gebruiken). Verder is slot 5 reeds bezet, dus ga ik deze moeten wissen voor ik het kan beschrijven. Mijn script is dus aangepast naar :
Nu voer ik het script uit (deze keer vanaf mijn $HOME directory omdat ik het script heb aangepast).
$ sudo ~/yubikey-luks-enroll
Nu moeten we het eerder ingestelde sterke LUKS wachtwoord ingeven :
Na het plaatsen van de YubiKey (als deze al niet geplaatst was) komt de vraag om een wachtwoord in te stellen, dit wachtwoord werkt ENKEL in samenwerking met de geplaatste YubiKey.