Hallo zusammen,
neulich habe ich mir ein neues Spielzeug (naja, eigentlich ist es ein gebrauchtes Lenovo T400) zugelegt, Gentoo soll auf diesem zum Einsatz kommen.
Meiner Paranoia willen, richtete ich dort eine entsprechende Festplattenverschlüsslung mittels LUKS ein (konkret habe ich /boot ausgelagert, der Rest liegt als LVM in einem verschlüsselten LUKS-Container).
Zwar weiß ich, dass ein Passwort, ab einer gewissen Zeichenlänge bei Verwendung von LUKS in einigen Kreisen als relativ "sicher" gilt, aber gegen Hardware-Keylogger relativ machtlos ist.
Also würde ich gerne eine 2-Faktor Autherntifizierung realisieren (wo also sowohl die Eingabe eines Passworts, als auch das Vorhandensein einer Key-File erforderlich ist).
Als "Möglichkeit" hat mir die Suchmaschine meiner Wahl tatsächlich ein relativ gutes Howto ausgespuckt. Leider realisiert der Autor den relevanten Teil mittels einiger Skripte aus einem eigenen Overlay, welche gegen Ende EFI-spezifischen Code erzeugen (was das T400 nicht drauf hat).
Der Autor verwendet hier eine erzeugte Key-File zur entschlüsslung des LUKS-Containers. Die Key-File selbst ist mittels GPG mit einem Passwort gesichert.
Momentan scheitere ich leider daran, GPG irgendwie brauchbar in mein initrd (oder Grub?) einzubauen. Ich habe es mit genkernel versucht (da die /etc/genkernel.conf ja die Option GPG="yes" anbietet). Leider finde ich dazu keine näheren Beschreibungen, wie man die Option nutzt.
Weiß Jemand, wie sowas funktioniert (so dass quasi beim booten die Keyfile zunächst von gpg entschlüsselt wird und dann an cryptsetup weitergereicht wird)?