Was ist das hier

Diese Anleitung beschreibt die Erstellung und Nutzung einer verschlüsselten Partition unter Linux. Dabei wird dm-crypt bzw. cryptsetup verwendet. Die Installation des cryptsetup Paketes wird am Beispiel von Debian GNU/Linux beschrieben.

Begriffe und Variablen

Variable

Bedeutung

Beispiel

$CRYPTODEVICE

Name deines Cryptodevices

scheibenkaese

$DEVICE

Bezeichnung des Laufwerkes

sda2 (also /dev/sda2)

$MOUNT

beliebiges Verzeichnis

/mnt/tiefkuehlfach


Start

Die Verschluesselung baut auf dem sogenannten Device Mapper auf, welcher ab Kernel 2.6.4 implementiert ist. Laut deren Entwickler ist es um einiges besser fuer Crypto-Zwecke geeignet als die Cryptoloop-Variante.

Kernel-Optionen

Falls du Module verwendest, solltest du sie nun laden (bzw. füge sie in /etc/modules ein).

Variante I - pures cryptsetup (alt)

Pakete installieren

apt-get install cryptsetup hashalot

Cryptopartition einrichten

Als Erstes benötigst du eine freie Partition1 2.

Mit dem Aufruf von cryptsetup wird die neue Cryptopartition angelegt:

cryptsetup -y -c aes-cbc-essiv:sha256 create $CRYPTODEVICE /dev/$DEVICE

Das neue device formatieren:

mkfs.ext3 /dev/mapper/$CRYPTODEVICE

Und schliesslich noch mounten:

mount /dev/mapper/$CRYPTODEVICE $MOUNT

Täglicher Gebrauch

Paranoia

Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, koennte - wer die noetigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschluesselt!

Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):

umount $MOUNT
cryptsetup remove $CRYPTODEVICE

Du kannst alle mappings gleichzeitig entfernen mit:

dmsetup remove_all

! Denk dran: cryptsetup remove niemals nicht vergessen oder aber Stecker ziehen ;) !

Variante II - cryptsetup-luks (neu )

Pakete installieren

apt-get -t testing install cryptsetup hashalot

(cryptsetup-luks ist derzeit (Juni 02006) nicht in Debian/stable verfügbar)

Cryptopartition einrichten

Als Erstes benötigst du eine freie Partition. Alle Daten auf der Partition gehen verloren!

Mit dem Aufruf von cryptsetup wird die neue Cryptopartition angelegt (die Cryptopartition darf dabei nicht gemountet sein):

cryptsetup luksFormat /dev/$DEVICE

Danach kannst du die neue Partition mappen:

cryptsetup luksOpen /dev/$DEVICE $CRYPTDEVICE

Das neue Device formatieren:

mkfs.ext3 /dev/mapper/$CRYPTODEVICE

Und schliesslich probeweise mounten (per Hand):

mount /dev/mapper/$CRYPTODEVICE $MOUNT

Täglicher Gebrauch

Paranoia

Mit dmsetup info lassen sich benutzte devicemappings anzeigen. Taucht hier ein Teil als ACTIVE auf, so hat jedermensch darauf Zugriff (auch wenn es nicht gemountet ist, könnte - wer die nötigen Rechte hat - das Teil ohne passendes Cryptokennwort mounten) - es ist in diesem Zustand quasi entschlüsselt!

Deswegen immer nach dem unmounten, das mapping entfernen (sonst gibt's (erfahrene Beamte vorausgesetzt) evtl. Stress bei der Hausdurchsuchung):

umount $MOUNT
cryptsetup luksClose $CRYPTODEVICE

Du kannst alle mappings gleichzeitig entfernen mit:

dmsetup remove_all

! Denk dran: cryptsetup luksClose niemals nicht vergessen oder aber Stecker ziehen (bzw. den Rechner herunterfahren) ;) !

Hinweise

FAQ

  1. Wenn du eine bereits bestehende Partition verschlüsseln willst, solltest du zuerst deine Daten sichern. Dies ist wichtig, denn im Verlauf der Umwandlung muss die Partion neu formatiert werden. (1)

  2. Wenn du die Partition neu anlegst, nimm eine normale Linux (83) Partition. (2)

CryptoPartitionHowTo (last edited 2012-10-01 08:39:10 by anonymous)


Creative Commons License
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.