Hej
Mein Plan ist eine Installation auf einem Laptop mit SSD. Soweit ich das recherchieren konnte kann Grub nur LUKS1 entschlüsseln. Es wäre mir lieber wenn ich das System mit einer aktuelleren Variante verschlüsseln könnte und nur einmal meine Passphrase eingeben muss. Bei meinen Testläufen funktioniert das nur so halb. Ich denke ich checks einfach nicht wie ich Grub einrichten muss um zwei unterschiedliche Partitionen zu entschlüsseln.
Bin für jede Hilfe dankbar.

  • Martin-MS hat auf diesen Beitrag geantwortet.

    beam oweit ich das recherchieren konnte kann Grub nur LUKS1 entschlüsseln.

    Es gibt eine eingeschränkte Unterstützung für LUKS2: https://wiki.archlinux.org/title/GRUB#LUKS2

    Falls das für deinen Anwendungsfall nicht reicht, legst du eine separate, unverschlüsselte boot-Partition an, aus der grub bootet, die verschlüsselte root-Partition wird dann über den Kernel-Parameter cryptdevice mit anschließender Kennworteingabe geöffnet.

    • beam hat auf diesen Beitrag geantwortet.

      Martin-MS
      Oh das ist mir neu. Danke. Ich lese mich mal ein.

      Ein unverschlüsseltes /boot will ich vermeiden.

      • Martin-MS hat auf diesen Beitrag geantwortet.

        Martin-MS
        Warum? … Habe ich mir so überlegt als das was ich bevorzuge. Bestimmt gibt es verschiedene gute Gründe es nicht zu machen.
        Ich habe mindestens zwei es doch zu wollen.

        Meines Wissens unterstützt Grub2 LUKS2 teilweise. Du musst aufpassen, dass du für die PBKDF kein Argon, sondern pbkdf2 nimmst (habe ich nicht getestet und müsste entsprechend recherchiert werden).

        Alternativ kannst du auch die /boot separat mit LUKS1 verschlüsseln und den Rest des Systems in einen LUKS2-Container legen. Das initramfs müsste mit LUKS2 umgehen können.

        Ob heikle Daten in /boot liegen, hängt unter anderem davon ab, was ins initramfs gepackt wird. Ich verwende LUKS1 und mein initramfs hat einen LUKS-Schlüssel drin, damit ich nur für Grub2 die Passphrase eingeben muss und mein initramfs später den LUKS1-Container selber entschlüsseln kann.

        Aus Neugier: Welchen praktischen Vorteil versprichst du dir von LUKS2?

        Und noch ein Tipp: Grub2 unterstützt nur das amerikanische Tastaturlayout. Falls deine Passphrase unterschiedliche Werte beim eingeben mit deinem gewohnten Tastaturlayout und dem amerikanischen liefert, kannst du zwei Keyslots verwenden: eine mit dem gewohnten und einem mit dem amerikanischen Layout.

        Eine unverschlüsselte /boot kann man machen, aber würde ich nicht empfehlen, da Arch Linux von Haus aus keine "Secure Boot"-fähige Installation liefert (anders sieht es bei "Secure Boot"-fähigen Distributionen wie Fedora aus). Man kann zwar technisch "Secure Boot" nachrüsten, aber das endet dann eher in einem "Signed Boot" und nicht wirklich "Secure Boot", falls Angreifer in der Lage sind, ihre Binärdateien mit deinen Schlüsseln zu signieren. Auch das Aufsetzen von PK und KEK müsste gut durchdacht sein (ansonsten sperrst du eventuell auch die Möglichkeit, dein UEFI zu aktualisieren oder Dual Boot zu nutzen).