Full-Disk-Encryption mit OpenBSD

von nikken, erstellt am und zuletzt aktualisiert am .
CC0 Public Domain keine rechte vorbehalten.

Ich habe OpenBSD schon öfter auf Laptops installiert und genutzt, auch schon mit Festplattenverschlüsselung. Als ich aber neulich mein neues ThinkPad T430 einrichten wollte, schien das alles nicht mehr so leicht von der Hand zu gehen wie bei den vorherigen Malen.

Nach etwas Recherche bin ich auf einen Verlauf in der Mailingliste gestoßen (der dann auch seinen Weg in die offizielle Dokumentation zur Festplattenverschlüsselung gefunden hat) der mir weiterhalf.

Der generelle Prozess läuft etwa so:

Nach dem Boot vom Installationsmedium (also etwa dem USB-Stick) geht man nicht direkt in den Installer sondern erst in die Shell, um die Festplatten vorzubereiten. Wenn man davon ausgeht, dass im Laptop bloß eine Festplatte (sd0) verbaut ist, ist außerdem noch das Installationsmedium (sd1) vorhanden. Bei OpenBSD ist es so, dass man sd0 im RAID-Modus aufsetzt, mit zufälligen Daten überschreibt und eine weitere Festplatte sd2 (das Mirror-Device zum ersten) erstellt. Dabei ist dann das erste Device vom Bootloader lesbar und auf dem neu erstellten Device befinden sich die eigentlichen Daten.

Nun war es bei mir so, dass es bei jedem erneuten Versuch unterschiedlich weit funktionierte, bis ich eine Meldung a la device not found erhielt. Wie, das Device wurde nicht gefunden? Die Festplatte ist doch vorhanden? Und ich habe die Anleitungen befolgt?

In der Mailinglisten-Diskussion wurde dann aufgeklärt, dass der Installer aus verschiedenen Gründen nicht alle möglichen Device-Nodes (sd0, sd1, sd2, usw.) erstellt, sondern nur die tatsächlich vorhandenen, also in diesem Fall sd0 und sd1. Die Lösung für mein Problem war es also, vor dem Einrichten der Festplatten erst die neuen Device-Nodes zu erstellen:

# cd /dev && sh MAKEDEV sd0 sd2

Ich weiß nicht, was diesmal anders war als bei den vorherigen Malen oder was sich in der Zwischenzeit (nun bestimmt schon ein paar Jahre) am Installationsprozess geändert hat, aber so konnte ich dann wie gewohnt fortfahren.

Quellen

Für die weitere Installation und spätere Einrichtung habe ich mich an den folgenden hilfreichen Posts orientiert: