Diese Anleitung beschreibt die Erstellung und Nutzung einer verschlüsselten Datei unter Debian/GNU Linux. Dabei kommt cryptsetup-luks zum Einsatz, welches momentan nur in testing vorhanden ist. Falls du Debian sarge benutzt, findest du eine Anleitung am Ende dieser Seite.

Begriffe und Variablen

Variable

Bedeutung

Beispiel

$DATEI

Pfad für Abbild der verschlüsselten Partition

/data/plastikpackung

$MB

Grösse von $DATEI in Megabyte

100

$CRYPTODATEI

Name deiner Cryptodatei in /dev/mapper

gouda

$MOUNT

Verzeichnis, wo Partition eingehängt wird

/mnt/kuehlschrank


Die cryptsetup-luks Variante

Die Verschlüsselung baut auf dem sogenannten Device Mapping auf, welches ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die Cryptoloop-Variante.

Für die folgende Schritte benötigst du root-Rechte.

Kernel-Optionen

Bei einem Debian Standard-Kernel sind die folgenden Einstellungen nicht notwendig. Benutzt du allerdings einen selbst kompilierten Kernel, solltest du folgende Optionen einschalten:

Module laden

Falls du Module verwendest, solltest du sie nun laden:

modprobe loop
modprobe dm_crypt

Packete installieren

apt-get install -t testing cryptsetup hashalot

Cryptodatei einrichten

Täglicher Gebrauch

Paranoia

Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!

Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):

umount $MOUNT

cryptsetup luksClose $CRYPTODEVICE

Du kannst alle mappings gleichzeitig entfernen mit:

dmsetup remove_all

! Denk dran: cryptsetup luksClose niemals nicht vergessen oder aber Stecker ziehen ;) !


Die cryptsetup Variante

Diese Abschnitt beschäftigt sich mit der Erstellung einer verschlüsselten Datei bei Benutzung von Debian sarge und cryptsetup ohne luks-Erweiterung. Falls du Debian testing benutzt, ist die oben beschriebene luks-Variante die empfohlene.

Die folgenden Schritte benötigen root-Rechte.

Packete installieren

apt-get install cryptsetup

Cryptodatei einrichten

Täglicher Gebrauch

Paranoia

Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!

Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):

umount $MOUNT

cryptsetup remove $CRYPTODEVICE

Du kannst alle mappings gleichzeitig entfernen mit:

dmsetup remove_all

! Denk dran: cryptsetup remove niemals nicht vergessen oder aber Stecker ziehen ;) !


Hinweise

Weitere informationen und Tipps:

CryptoDateiHowto (last edited 2015-11-02 17:33:23 by anonymous)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.