Benutzer-Werkzeuge

Webseiten-Werkzeuge


Dies ist eine alte Version des Dokuments!


Devices verschlüsseln

Mit cryptsetup lassen sich beliebige Devices verschlüsseln. Das können USB-Sticks, aber auch „normale“ Dateien im Dateisystem sein. Nachfolgend eine kurze Anleitung (in Anlehnung an http://spielwiese.la-evento.com/xelasblog/archives/8-USB-Stick-verschluesseln-mit-cryptsetup.html.

Verschlüsselter USB-Stick

Erstverschlüsselung

  1. USB-Stick einstecken und in /var/log/messages nachschauen, welchem Device der Stick zugeordnet wurde.
  2. Mit fdisk -l /dev/sd? kann man sich die Partitionierung des Sticks anschauen.
  3. Mit fdisk /dev/sd? kann man die Partionierung beliebig ändern.
    • p: Print partition table
    • d: Delete partition
    • n: Create new partition (Partitionstyp 83 ist für Linux-Partitionen auszuwählen)
    • w: Write partition table and exit
  4. Jetzt mit cryptsetup luksFormat /dev/sd?? den Stick verschlüsseln. Dabei muss eine Passphrase angegeben werden (je länger, je besser)
    root@scheerix:/data/public# cryptsetup luksFormat /dev/sd??
    
    WARNING!
    ========
    Hiermit überschreiben Sie Daten auf /dev/sd?? unwiderruflich.
    
    Are you sure? (Type uppercase yes): YES
    LUKS-Passsatz eingeben: 
    Verify passphrase: 
  5. Mit cryptsetup luksOpen /dev/sd?? stick wird der verschlüsselte Container auf dem Stick geöffnet. Dabei muss man die bei cryptFormat verwendete Passphrase erneut angeben.
  6. Ein mkfs.ext4 -L „Label“ /dev/mapper/stick wird im Container ein EXT4-Filesystem erzeugen.
    mkfs.ext4 -L "Backup-Stick #2 scheerpi" /dev/mapper/stick 
    mke2fs 1.42.5 (29-Jul-2012)
    Dateisystem-Label=Backup-Stick #2 
    OS-Typ: Linux
    Blockgröße=4096 (log=2)
    Fragmentgröße=4096 (log=2)
    Stride=0 Blöcke, Stripebreite=0 Blöcke
    1954064 Inodes, 7815560 Blöcke
    390778 Blöcke (5.00%) reserviert für den Superuser
    Erster Datenblock=0
    Maximale Dateisystem-Blöcke=4294967296
    239 Blockgruppen
    32768 Blöcke pro Gruppe, 32768 Fragmente pro Gruppe
    8176 Inodes pro Gruppe
    Superblock-Sicherungskopien gespeichert in den Blöcken: 
            32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
            4096000
    
    Platz für Gruppentabellen wird angefordert: erledigt                        
    Inode-Tabellen werden geschrieben: erledigt                        
    Erstelle Journal (32768 Blöcke): erledigt
    Schreibe Superblöcke und Dateisystem-Accountinginformationen: erledigt
  7. Jetzt kann das Filesystem mit mount /dev/mapper/stick /mnt unter /mnt eingebunden werden.
  8. Das Filesystem steht jetzt wie jedes andere Filesystem zur Verfügung.
  9. Mit umount /mnt und cryptsetup luksClose stick kann der USB-Stick wieder freigegeben und anschließend abgezogen werden.

Das war's…

Verwendung im Alltag

  1. Mit cryptsetup luksOpen /dev/sd?? stick wird der verschlüsselte Container auf dem Stick geöffnet. Dabei muss man die bei cryptFormat verwendete Passphrase erneut angeben. Alternativ kann auch mit cryptsetup luksOpen –key-file $HOME/.passhrase /dev/sd?? stick die Passphrase aus einer Datei gelesen werden. Beim Anlegen der Datei muss aber drauf geachtet werden, dass die Datei mit der Passphrase kein Newline enthält, denn das würde mit als Teil der Passphrase gewertet.
  2. Jetzt kann das Filesystem mit mount /dev/mapper/stick /mnt unter /mnt eingebunden werden.
  3. Das Filesystem steht jetzt wie jedes andere Filesystem zur Verfügung.
  4. Mit umount /mnt und cryptsetup luksClose stick kann der USB-Stick wieder freigegeben und anschließend abgezogen werden.

Verschlüsselte Datei-Container

Erstverschlüsselung

  1. Mit touch containername wird eine leere Datei erzeugt.
  2. Die Datei wird per dd if=/dev/urandom of=containername bs=1M count=xxxx auf die gewünschte Größe gebracht und dabei mit Zufallszahlen gefüllt.
  3. Um die Datei als Loopback-Device nutzen zu können, muss zunächst mit losetup -f das nächste freie Loopback-Device ermittelt werden.
  4. Dieses Device kann dann genutzt werden, um die Datei als Linux-Blockdevice zur Verfügung zu stellen: losetup /dev/loop? containername
  5. Jetzt mit cryptsetup luksFormat /dev/loop? die Datei verschlüsseln. Dabei muss eine Passphrase angegeben werden (je länger, je besser)
    root@scheerix:/data/public# cryptsetup luksFormat /dev/loop?
    
    WARNING!
    ========
    Hiermit überschreiben Sie Daten auf /dev/loop? unwiderruflich.
    
    Are you sure? (Type uppercase yes): YES
    LUKS-Passsatz eingeben: 
    Verify passphrase: 
  6. Mit cryptsetup luksOpen /dev/loop? eindeutiger_name wird der verschlüsselte Container geöffnet. Dabei muss man die bei cryptFormat verwendete Passphrase erneut angeben.
  7. Ein mkfs.ext4 -L „Label“ /dev/mapper/eindeutiger_name wird im Container ein EXT4-Filesystem erzeugen.
    mkfs.ext4 -L "GemeinsamerTresor" /dev/mapper/eindeutiger_name 
    mke2fs 1.42.5 (29-Jul-2012)
    Dateisystem-Label=GemeinsamerTresor
    OS-Typ: Linux
    Blockgröße=4096 (log=2)
    Fragmentgröße=4096 (log=2)
    Stride=0 Blöcke, Stripebreite=0 Blöcke
    1954064 Inodes, 7815560 Blöcke
    390778 Blöcke (5.00%) reserviert für den Superuser
    Erster Datenblock=0
    Maximale Dateisystem-Blöcke=4294967296
    239 Blockgruppen
    32768 Blöcke pro Gruppe, 32768 Fragmente pro Gruppe
    8176 Inodes pro Gruppe
    Superblock-Sicherungskopien gespeichert in den Blöcken: 
            32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
            4096000
    
    Platz für Gruppentabellen wird angefordert: erledigt                        
    Inode-Tabellen werden geschrieben: erledigt                        
    Erstelle Journal (32768 Blöcke): erledigt
    Schreibe Superblöcke und Dateisystem-Accountinginformationen: erledigt
  8. Jetzt kann das Filesystem mit mount /dev/mapper/eindeutiger_name /mnt unter /mnt eingebunden werden.
  9. Das Filesystem steht jetzt wie jedes andere Filesystem zur Verfügung.
  10. Mit umount /mnt, cryptsetup luksClose eindeutiger_name und losetup -d /dev/loop? kann die Container-Datei wieder freigegeben werden.

Das war's…

Verwendung im Alltag

  1. Mit losetup -f und anschließendem losetup /dev/loop? container die Datei als Blockdevice einhängen.
  2. Mit cryptsetup luksOpen /dev/loop? eindeutiger_name wird der verschlüsselte Container geöffnet. Dabei muss man die bei cryptFormat verwendete Passphrase erneut angeben. Alternativ kann auch mit cryptsetup luksOpen –key-file $HOME/.passhrase /dev/loop? eindeutiger_name die Passphrase aus einer Datei gelesen werden. Beim Anlegen der Datei muss aber drauf geachtet werden, dass die Datei mit der Passphrase kein Newline enthält, denn das würde mit als Teil der Passphrase gewertet.
  3. Jetzt kann das Filesystem mit mount /dev/mapper/eindeutiger_name /mnt unter /mnt eingebunden werden.
  4. Das Filesystem steht jetzt wie jedes andere Filesystem zur Verfügung.
  5. Mit umount /mnt, cryptsetup luksClose eindeutiger_name und losetup -d /dev/loop? kann der Container wieder freigegeben und anschließend abgezogen werden.
Cookies helfen bei der Bereitstellung von Inhalten. Diese Website verwendet Cookies. Mit der Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Computer gespeichert werden. Außerdem bestätigen Sie, dass Sie unsere Datenschutzerklärung gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website. Weitere Information
Zuletzt geändert: 23.10.2015 16:51

Seiten-Werkzeuge