Daten mit Losetup und Cryptsetup verschlüsseln

Streng geheim

Befinden sich auf Ihrem PC sensible Daten, sollten Sie diese auch entsprechend schützen. Mit starker Verschlüsselung und einem sicheren Passwort kommen selbst Geheimdienste nicht an Ihre Daten heran.

Sensible Daten befinden sich auf jedem Computer – egal ob Passwörter, Browser History oder E-Mails. Suse und Mandriva Linux bieten bereits während der Installation die Möglichkeit, einzelne Partitionen zu verschlüsseln. Gerade für das Verzeichnis /home sollten Sie davon Gebrauch machen. Es ist jedoch auch nachträglich möglich, verschlüsselte Partitionen oder Dateien anzulegen, unabhängig davon, welche Linux-Distribution Sie benutzen.

Zwei Lösungen

Mit losetup und cryptsetup-luks stehen auf der Kommandozeile einfache Werkzeuge bereit, mit denen Sie verschlüsselte Partitionen oder Dateien erstellen. Das Programm Losetup ist bei allen großen Distributionen mit dabei, Cryptsetup-Luks-Pakete für Debian, Fedora, Gentoo, Mandrake und Suse finden Sie auf der Projekt-Homepage [1]. Bei Ubuntu Breezy genügt der Befehl sudo apt-get install cryptsetup, um das Programm zu installieren.

Suse und Mandriva bringen zwar auch grafische Tools mit, um diese Aufgabe zu lösen (siehe Kasten "Verschlüsselung per Mausklick"), losetup und das modernere cryptsetup-luks funktionieren hingegen auf jeder Distribution.

Für beide Methoden benötigen Sie zunächst eine Container-Datei. Um eine 50 MByte große Datei zu erstellen, die Sie wie eine gewöhnliche Partition einhängen können, geben Sie in der Konsole den Befehl

dd if=/dev/urandom of=film.avi bs=↩
1024k count=50

ein. Für eine 500 MByte große Datei ersetzen Sie count=50 durch count=500 und so weiter. Dieser Vorgang dauert einige Minuten. Das weitere Vorgehen hängt davon ab, welche Methode Sie wählen. Anstelle einer Container-Datei können Sie auch eine echte Partition verwenden, zum Beispiel /dev/sda1 für einen USB-Stick. Ersetzen Sie dazu in der Beschreibung einfach den Container film.avi durch die entsprechende Gerätedatei.

Verschlüsselung per Mausklick

Grafische Tools zum Erstellen von verschlüsselten Laufwerken bringen zurzeit nur Suse und Mandriva Linux mit. Bei Suse Linux findet sich die Funktion im YaST-Modul zum Partitionieren. Mandriva liefert ein eigenständiges Programm: Drakloop. Es gehört zum mountloop-Paket, das Sie über System | Einstellungen | Paketierung | Software installieren nachträglich einrichten müssen.

Nach dem Start des Programms über [Alt]+[F2] und den Befehl drakloop klicken Sie auf das große Plus-Symbol in der Werkzeugleiste und geben einen neuen Verzeichnisnamen an. Dann legen Sie die Größe der Containerdatei und den Algorithmus fest (mit aes256 sind Sie auf der sehr sicheren Seite). Schließlich tippen Sie zweimal dasselbe Passwort ein.

Mandriva legt im angegebenen Verzeichnis eine Datei encfile an und hängt diese dann per Cryptoloop über das Verzeichnis ein. Ist also das Verzeichnis gemountet, sehen Sie Ihre Dateien, ist es nicht eingehängt, die Datei encfile. Von Hand hängen Sie diese Datei nach dem Laden der Kernel-Module aes und cryptoloop mit folgendem Befehl im Verzeichnis /mnt ein:

mount -o loop,encryption=aes256 encfile /mnt/

Benutzen Sie Suse Linux, starten Sie YaST und wählen das Modul System | Partitionieren. Nachdem Sie die Warnmeldung gelesen und weggeklickt haben, wählen Sie Kryptodatei | Verschlüsselte Datei erzeugen. Im folgenden Dialog (Abbildung 1) geben Sie oben einen Namen für den Container an. Die Option Loop-Datei anlegen muss in der Regel aktiv sein. Eine Ausnahme bilden bestehende Loop-Dateien (zum Beispiel von einer früheren Installation), die Sie über YaST nachträglich einbinden möchten. Als Dateisystem wählen Sie Ext3 und unter Mountpoint legen Sie einen beliebigen Einhängepunkt fest.

Nach einem Klick auf OK geben Sie zweimal dasselbe Passwort ein. Suse Linux benutzt für die verschlüsselten Partitionen ebenfalls das Cryptoloop-Verfahren, allerdings mit dem Twofish256-Algorithmus. Das Passwort muss deshalb mindestens 20 Zeichen lang sein. Die in YaST angelegten Dateien können Sie als root über den Befehl

mount -o loop,encryption=twofish256 geheime.datei /Mountpunkt

jederzeit auch ohne YaST ins System einbinden.

Abbildung 1: Im Partitionierungsmodul von YaST legen Sie über wenige Mausklicks verschlüsselte Dateisysteme an.

Losetup

Losetup war lange Zeit die Standardlösung für verschlüsselte Laufwerke. Suse und Mandriva verwenden sie bis heute. In YaST oder Drakloop erstellte Dateien lassen sich also mit der hier beschriebenen Methode manuell einhängen. In einem ersten Schritt verschlüsseln Sie die Container-Datei mit einem Algorithmus und ordnen die Datei einem Loop-Gerät (in der Regel /dev/loop0) zu:

losetup -T -e twofish256 /dev/loop0 film.avi

Mit der Option -T fragt losetup zwei Mal nach der Passphrase. So lassen sich lästige Tippfehler ausschließen. Meldet der Befehl die Fehlermeldung requested cipher or key lenght not supported by kernel müssen Sie als root zunächst mit den Befehlen modprobe twofish und modprobe cryptoloop die Verschlüsselungsmodule laden. Twofish256 ist eine sehr sichere Methode.

Im nächsten Schritt erstellen Sie auf dem Loop-Gerät /dev/loop0 ein Dateisystem. Es empfiehlt sich, dazu Ext2 oder Ext3 zu verwenden, da bei ReiserFS schon das Journal 33 MByte belegt. Bei größeren Geräten können Sie natürlich auch ReiserFS benutzen:

mkfs.ext3 /dev/loop0

Erstellen Sie nun als Benutzer mit dem Befehl mkdir /home/Benutzername/geheim in Ihrem Home-Verzeichnis einen Mount-Punkt für die neue Partition (Benutzername müssen Sie dazu durch Ihren Benutzernamen ersetzen). Dann hängen Sie diese als root mit dem Befehl mount /dev/loop0 /home/Benutzername/geheim ein. Damit Sie auch als normaler Benutzer auf die verschlüsselte Partition zugreifen können, erweitern Sie die Partitionstabelle um folgenden Eintrag:

/dev/loop0      /home/<I>Benutzername<I>/geheim ext3 defaults,user,noauto,loop,encryption=twofish256 0 0

Danach können Sie als normaler Benutzer mit dem Befehl mount geheim/ die verschlüsselte Partition einhängen. Das funktioniert jedoch nur bis zum nächsten Neustart. Danach müssen Sie als root die Module neu laden:

modprobe twofish256
modprobe cryptoloop

und mit dem Befehl losetup /dev/loop0 film.avi erneut die Container-Datei dem Loop-Gerät zuordnen.

Tipp

Suse unterstützt als letzte Distribution über einen Kompatibilitätsmodus auch noch das alte Cryptoloop-Verfahren mit kurzen Passwörtern.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Crypto-Loop mit Suse 9.3
  • Verschlüsselte virtuelle Dateisysteme mit dem SuSE-Kryptofilesystem und BestCrypt
    Wird das Notebook geklaut, ist das ärgerlich genug. Wie gut, wenn der Dieb dann zumindest mit den darauf gespeicherten persönlichen Daten nichts anfangen kann, weil sie in einem verschlüsselten Dateisystem lagern.
  • Geheim gehalten
    Daten sicher zu halten, hat zwei Seiten: Schutz vor Verlust und Schutz vor unerlaubtem Zugriff durch Fremde. Der zweiten Bedrohung begegnen Sie, indem Sie Dateien verschlüsseln. Wir zeigen, wie Sie das erreichen – wahlweise mit Standard-Linux-Tools oder mit dem Windows-kompatiblen TrueCrypt.
  • Beerdigt
    Tomb erzeugt und verwaltet Crypto-Container mithilfe bewährter Bordmittel wie Dm-crypt und LUKS. Daher funktioniert das Zsh-Skript auf so gut wie jedem Linux-System.
  • Informationssicherheit unter Linux
    Da kann die Firewall noch so gut eingerichtet sein: Sobald ein Angreifer direkten Zugriff auf den eigenen Computer hat, liegen (spätestens nach dem Ausbau der Festplatte) alle Daten offen. Schützen kann man sich nur mit Verschlüsselungs-Software, die wir hier vorstellen wollen.
Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...