LUKS Verschlüsselung: Passwort ändern

Ist die Festplatte erst einmal mit LUKS verschlüsselt, kommt vielleicht auch einmal der Wunsch auf, das Passwort für die verschlüsselte Partition zu ändern. Das geht schnell und einfach über folgenden Befehl:

cryptsetup luksChangeKey /dev/sda3

Wobei /dev/sda3 die Festplattenpartition mit der LUKS-Verschlüsselung ist. Man wird aufgefordert, das zu ändernde Passwort einzugeben und danach ein neues zu wählen. Fertig.

LUKS unterstützt bis zu 8 „Schlüsselfächer“, d.h. es können bis zu 8 separate Passwörter angelegt werden, mit denen man Zugriff auf die verschlüsselte Partition bekommt. Wenn man beim Ändern des Passworts sichergehen will, dass nichts schiefgeht und Daten z.B. durch einen Stromausfall und unvollständige Änderungen unlesbar werden, kann man sich die Schlüsselfächer zunutze machen und die Passwortänderung in kleinen Schritten ausführen:

Zuerst wird ein weiteres Passwort neben dem aktuellen angelegt:

cryptsetup luksAddKey /dev/sda3

Nach der Eingabe eines bereits vorhandenen Passworts wird das neue Passwort angegeben. Im nächsten Schritt wird dann das alte Passwort entfernt, indem es nach folgendem Befehl eingegeben wird:

cryptsetup luksRemoveKey /dev/sda3

Jetzt existiert nur noch ein Schlüsselfach für das neue Passwort und ein Login über das alte Passwort ist nicht mehr möglich. => Passwort geändert!