LUKS Nuke bietet die Möglichkeit, eine vollständig verschlüsselte Installation von Debian basierten Distributionen auf die zukünftige Entsorgung der Festplatte vorzubereiten.

Einmal eingerichtet ist die Handhabung einfach: beim Booten des Systems gibt man statt der Passphrase zum Öffnen des Systemcontainers die konfigurierte Nuke-Passphrase ein und einige Millisekunden später ist nur noch unbrauchbarer Datenmüll auf der Festplatte.

(Weitere Einsatzmöglichkeiten für ein solches Feature sind der Fanatasie des Lesers überlassen.)


LUKS Nuke wurde für Kali Linux entwickelt, einer Linux Distribution für "Offensive Security" (Pentesting). In dieser Distribution installiert man das Paket aus den Repositories: > sudo apt install cryptsetup-nuke-password Im zweiten Schritt werden die Nuke Passphrase konfiguriert, die man 2x eingeben muss, und im Hintergrund automatisch alle notwendigen Systemanpassungen eingerichtet: > sudo dpkg-reconfigure cryptsetup-nuke-password
LUKS Nuke löscht bei Eingabe der Nuke Passphrase statt der korrekten Passphrase zum Öffnen des Systemcontainers alle Keyslots im LUKS Header, so das die Daten nicht mehr entschlüsselt werden können. Wenn man ein Backup des LUKS Header off-site speichert, kann man mit einer Linux Live-DVD die Daten wieder lesbar machen.

  1. Ein Backup des LUKS Header erstellt man mit folgendem Kommando: > sudo cryptsetup luksHeaderBackup --header-backup-file luksheader.bck <device> Bei Kali Linux ist das <device> üblicherweise /dev/sda5, bei anderen Distributionen ist es evtl. anzupassen. Das Backup kann man verschlüsseln und off-site ablegen.
  2. Für ein Restore des funktionierenden LUKS Headers bootet man eine Linux Live-DVD und stellt den Header mit den Schlüsseln mit folgendem Kommando wieder her: > sudo cryptsetup luksHeaderRestore <device> --header-backup-file luksheader.bck


Da Kali Linux auf Debian basiert, kann man das Paket "cryptsetup-nuke-password" auch auf anderen Linux Distributionen installieren, die von Debian abgeleitet sind. Dafür könnte man die Kali Linux Live-DVD starten und das Paket mit folgendem Kommando herunterladen: > apt download cryptsetup-nuke-password Anschließend transferiert man das Paket auf das eigene Linux System und installiert es mit: > sudo dpkg -i cryptsetup-nuke-pass*.deb Dann die Konfiguration der Nuke Passphrase und die Anpassung des Systems - FERTIG: > sudo dpkg-reconfigure cryptsetup-nuke-password

(Getestet mit Debian 10 - für alle anderen Distributionen keine Gewährleistung.)