Was ist das hier

Diese Anleitung beschreibt die Erstellung und Nutzung einer verschluesselten Datei unter Debian/GNU Linux.

Begriffe und Variablen

Variable	Bedeutung	Beispiel
$DATEI	beliebiger Dateiname	plastikpackung
$MB	Groesse der Datei in Megabyte	100
$CRYPTODATEI	Name deiner Cryptodatei	gauda
$MOUNT	beliebiges Verzeichnis	/mnt/kuehlschrank

Die Verschluesselung baut auf dem sogenannten Device Mapping auf, welches ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die [http://www.tldp.org/HOWTO/Cryptoloop-HOWTO/ Cryptoloop-Variante].

Kernel-Optionen

Device Drivers -> Multiple-device support (RAID and LVM): Device mapper support & Crypt target support auswaehlen
Device Drivers -> Block devices: Loopback device support auswaehlen
Cryptograpic options -> algorithmus auswaehlen (aes, twofish, ...)

Falls du Module verwendest, solltest du sie nun laden (als root):

modprobe loop
modprobe dm_crypt

Packete installieren

apt-get install cryptsetup

Cryptodatei einrichten

Als erstes erstellst du eine neue Datei. Du kannst /dev/urandom benutzen, um zufaellige Werte in diese Datei zu schreiben:

dd if=/dev/urandom of=$DATEI bs=1M count=$MB

Anschliessend richtest du das loop-device ein (wahrscheinlich benoetigst du root-Rechte):

losetup /dev/loop0 $Datei

Jezt wird aus dem loop-device eine Cryptodatei:

cryptsetup -c aes -y create $CRYPTODATEI /dev/loop0

Noch schnell die Datei mit einem Dateisystem formatieren:

mkfs.ext3 /dev/mapper/$CRYPTODATEI

Mounten und fertig:

mount /dev/mapper/$CRYPTODATEI $MOUNT

Taeglicher Gebrauch

Nach einem crypsetup remove $CRYPTODATEI musst du folgendes ausfuehren um wieder Zugriff auf die Datei zu erhalten:
```
cryptsetup create $CRYPTODATEI /dev/loop0

mount /dev/mapper/$CRYPTODATEI $MOUNT
```

Nach einem Neustart muss du folgendes ausfuehren um wieder Zugriff auf die Datei zu erhalten:

losetup /dev/loop0 $Datei

cryptsetup -c aes -y create $CRYPTODATEI /dev/loop0

mount /dev/mapper/$CRYPTODATEI $MOUNT

Den cryptsetup- und remount-Vorgang führt [wiki:SubVersion/admin-tools/spielspass/cryptdisks diese angepasste Version] von /etc/init.d/cryptdisks aus, die du im [https://systemausfall.org/websvn/admin-tools admin-tools svn] findest (hilfreich, wenn du dich oefter bei der Passworteingabe vertippst ;).

Paranoia

Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, koennte - wer die noetigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschluesselt!

Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):

umount $MOUNT

cryptsetup remove $CRYPTODEVICE

Du kannst alle mappings gleichzeitig entfernen mit:

dmsetup remove_all

! Denk dran: cryptsetup remove niemals nicht vergessen oder aber Stecker ziehen !

Hinweise

weitere informationen und Tipps: http://www.saout.de/tikiwiki/tiki-index.php