Fedora: 2FA mit YubiKey für LUKS

Ich bin irritiert, dass es scheinbar kaum Support von Fedora für eine 2-Faktor-Authentifizierung bei LUKS gibt. Namentlich möchte ich einen YubiKey einsetzen, um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.

Eine Recherche zeigt, dass hierzu das Paket 'yubikey-luks' von Cornelius Kölbel verwendet wird (und etwas anderes habe ich auch gar nicht gefunden).
https://blog.mimacom.com/fde-with-yubikey/

Bei Debian-artigen Distros wird das scheinbar auch unterstützt, aber für Fedora sehe ich keine Hinweise auf Support. Und ich bin mir unsicher, an so einer sensiblen Stelle ohne Support durch die Distribution zu agieren.

Kennt jemand den Grund hierfür? Hat jemand hierzu Erfahrungen oder kennt Alternativen?
TNX

Glückauf, gehrke

Hallo,

gehrke schrieb:

.. um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.

Zum Vergrößern anklicken....

Was du brauchst ist ein spezieller USB stick, mit dem du bootest und von dem aus du die root Platte entschlüsselst und chrootest.
Und wenn du einen solchen stick hast, dann bietet dir der kernel am stick weitaus mehr Möglichkeiten, als du aus dem yubikey je beziehen kannst.
Der yubikey passt da nicht ins Konzept.

gehrke schrieb:

Bei Debian-artigen Distros wird das scheinbar auch unterstützt, aber ...

Zum Vergrößern anklicken....

Ich möchte dir empfehlen, bei allen Angelegenheiten mit Verschlüsselung KEINE Werkzeuge von Distros zu verwenden.
Diese Mechanismen fallen unter die "allgemeine Gültigkeit". Sie erfüllen Auflagen, die unter Druck oder lukrativer Zusammenarbeit enstehen.
Alles was davon abweicht, ist ein großes Problem, natürlich nicht deines. Geh deinen eigenen Weg, der ist sicher. Alles andere ist Zeitverschwendung.

Gruß
Gräfin Klara

Gräfin Klara schrieb:

Was du brauchst ist ein spezieller USB stick, mit dem du bootest und von dem aus du die root Platte entschlüsselst und chrootest.
Und wenn du einen solchen stick hast, dann bietet dir der kernel am stick weitaus mehr Möglichkeiten, als du aus dem yubikey je beziehen kannst.

Zum Vergrößern anklicken....

Vielen Dank. Deine Antwort ist etwas unkonkret - in dieser Form kann ich wenig damit anfangen. Welche 'mehr Möglichkeiten' und warum?
Eigentlich suche ich nach einer Möglichkeit, eine bestehende Konfiguration mit 1FA um einen zweiten Faktor zu erweitern. Wie das mit GNU/Linux geht, ist in dem Link grundsätzlich skizziert.

Tut mir Leid, war ein Missverständnis

Gräfin Klara schrieb:

Hallo
Auf einem solchen stick befindet sich ein bootbares Linux, weil:

gehrke schrieb:

um eine sogenannte 'vollverschlüsselte' Festplatte zu entsperren - also eine Disk, von der gebootet wird.

Zum Vergrößern anklicken....

du ein Minimalsystem brauchst, um um deine Platte oder die root_partition vor dem chroot zu entschlüsseln und zu prüfen.
Auf diesen notwendigen Umstand geht der Beitrag unter deinem Link ja nicht ein.

Zum Vergrößern anklicken....

Ja, weil der Inhalt des von mir verlinkten Artikels wenig bis nichts mit dem von Dir beschriebenen Verfahren zu tun hat.

Meine Fragen bezogen sich ganz konkret auf die Integration des Yubikeys in Fedora. Es geht in diesem Thread nicht darum, die Partitionierung eines oder alller verwendeten Systeme zu ändern und/oder den grundsätzlichen Boot-Mechanismus zu ändern. Ob eine 'sogenannte' Vollverschlüsselung mit LUKS bei einer unverschlüsselten Boot-Partition problematisch ist, ist hier nicht Topic.

Falls Du das (durchaus interessante) Thema fortführen möchtest, bitte ich Dich, das in einem eigenen Thread zu tun. Gerne kann das Moderatorenteam Deine Beiträge hier auch in einen neuen Thread auslagern. Dann könnnte ich auch dazu beitragen, dass ich durchaus auch ein (von zehn) System habe, bei welchem ich grundsätzlich nur von USB-Stick boote und welche Vor- und Nachteile das hat. Aber hier ist das offtopic.
TNX