Streng geheim

Daten mit Losetup und Cryptsetup verschlüsseln

01.03.2006
Befinden sich auf Ihrem PC sensible Daten, sollten Sie diese auch entsprechend schützen. Mit starker Verschlüsselung und einem sicheren Passwort kommen selbst Geheimdienste nicht an Ihre Daten heran.

Sensible Daten befinden sich auf jedem Computer – egal ob Passwörter, Browser History oder E-Mails. Suse und Mandriva Linux bieten bereits während der Installation die Möglichkeit, einzelne Partitionen zu verschlüsseln. Gerade für das Verzeichnis /home sollten Sie davon Gebrauch machen. Es ist jedoch auch nachträglich möglich, verschlüsselte Partitionen oder Dateien anzulegen, unabhängig davon, welche Linux-Distribution Sie benutzen.

Zwei Lösungen

Mit losetup und cryptsetup-luks stehen auf der Kommandozeile einfache Werkzeuge bereit, mit denen Sie verschlüsselte Partitionen oder Dateien erstellen. Das Programm Losetup ist bei allen großen Distributionen mit dabei, Cryptsetup-Luks-Pakete für Debian, Fedora, Gentoo, Mandrake und Suse finden Sie auf der Projekt-Homepage [1]. Bei Ubuntu Breezy genügt der Befehl sudo apt-get install cryptsetup, um das Programm zu installieren.

Suse und Mandriva bringen zwar auch grafische Tools mit, um diese Aufgabe zu lösen (siehe Kasten "Verschlüsselung per Mausklick"), losetup und das modernere cryptsetup-luks funktionieren hingegen auf jeder Distribution.

Für beide Methoden benötigen Sie zunächst eine Container-Datei. Um eine 50 MByte große Datei zu erstellen, die Sie wie eine gewöhnliche Partition einhängen können, geben Sie in der Konsole den Befehl

dd if=/dev/urandom of=film.avi bs=↩
1024k count=50

ein. Für eine 500 MByte große Datei ersetzen Sie count=50 durch count=500 und so weiter. Dieser Vorgang dauert einige Minuten. Das weitere Vorgehen hängt davon ab, welche Methode Sie wählen. Anstelle einer Container-Datei können Sie auch eine echte Partition verwenden, zum Beispiel /dev/sda1 für einen USB-Stick. Ersetzen Sie dazu in der Beschreibung einfach den Container film.avi durch die entsprechende Gerätedatei.

Verschlüsselung per Mausklick

Grafische Tools zum Erstellen von verschlüsselten Laufwerken bringen zurzeit nur Suse und Mandriva Linux mit. Bei Suse Linux findet sich die Funktion im YaST-Modul zum Partitionieren. Mandriva liefert ein eigenständiges Programm: Drakloop. Es gehört zum mountloop-Paket, das Sie über System | Einstellungen | Paketierung | Software installieren nachträglich einrichten müssen.

Nach dem Start des Programms über [Alt]+[F2] und den Befehl drakloop klicken Sie auf das große Plus-Symbol in der Werkzeugleiste und geben einen neuen Verzeichnisnamen an. Dann legen Sie die Größe der Containerdatei und den Algorithmus fest (mit aes256 sind Sie auf der sehr sicheren Seite). Schließlich tippen Sie zweimal dasselbe Passwort ein.

Mandriva legt im angegebenen Verzeichnis eine Datei encfile an und hängt diese dann per Cryptoloop über das Verzeichnis ein. Ist also das Verzeichnis gemountet, sehen Sie Ihre Dateien, ist es nicht eingehängt, die Datei encfile. Von Hand hängen Sie diese Datei nach dem Laden der Kernel-Module aes und cryptoloop mit folgendem Befehl im Verzeichnis /mnt ein:

mount -o loop,encryption=aes256 encfile /mnt/

Benutzen Sie Suse Linux, starten Sie YaST und wählen das Modul System | Partitionieren. Nachdem Sie die Warnmeldung gelesen und weggeklickt haben, wählen Sie Kryptodatei | Verschlüsselte Datei erzeugen. Im folgenden Dialog (Abbildung 1) geben Sie oben einen Namen für den Container an. Die Option Loop-Datei anlegen muss in der Regel aktiv sein. Eine Ausnahme bilden bestehende Loop-Dateien (zum Beispiel von einer früheren Installation), die Sie über YaST nachträglich einbinden möchten. Als Dateisystem wählen Sie Ext3 und unter Mountpoint legen Sie einen beliebigen Einhängepunkt fest.

Nach einem Klick auf OK geben Sie zweimal dasselbe Passwort ein. Suse Linux benutzt für die verschlüsselten Partitionen ebenfalls das Cryptoloop-Verfahren, allerdings mit dem Twofish256-Algorithmus. Das Passwort muss deshalb mindestens 20 Zeichen lang sein. Die in YaST angelegten Dateien können Sie als root über den Befehl

mount -o loop,encryption=twofish256 geheime.datei /Mountpunkt

jederzeit auch ohne YaST ins System einbinden.

Abbildung 1: Im Partitionierungsmodul von YaST legen Sie über wenige Mausklicks verschlüsselte Dateisysteme an.

Losetup

Losetup war lange Zeit die Standardlösung für verschlüsselte Laufwerke. Suse und Mandriva verwenden sie bis heute. In YaST oder Drakloop erstellte Dateien lassen sich also mit der hier beschriebenen Methode manuell einhängen. In einem ersten Schritt verschlüsseln Sie die Container-Datei mit einem Algorithmus und ordnen die Datei einem Loop-Gerät (in der Regel /dev/loop0) zu:

losetup -T -e twofish256 /dev/loop0 film.avi

Mit der Option -T fragt losetup zwei Mal nach der Passphrase. So lassen sich lästige Tippfehler ausschließen. Meldet der Befehl die Fehlermeldung requested cipher or key lenght not supported by kernel müssen Sie als root zunächst mit den Befehlen modprobe twofish und modprobe cryptoloop die Verschlüsselungsmodule laden. Twofish256 ist eine sehr sichere Methode.

Im nächsten Schritt erstellen Sie auf dem Loop-Gerät /dev/loop0 ein Dateisystem. Es empfiehlt sich, dazu Ext2 oder Ext3 zu verwenden, da bei ReiserFS schon das Journal 33 MByte belegt. Bei größeren Geräten können Sie natürlich auch ReiserFS benutzen:

mkfs.ext3 /dev/loop0

Erstellen Sie nun als Benutzer mit dem Befehl mkdir /home/Benutzername/geheim in Ihrem Home-Verzeichnis einen Mount-Punkt für die neue Partition (Benutzername müssen Sie dazu durch Ihren Benutzernamen ersetzen). Dann hängen Sie diese als root mit dem Befehl mount /dev/loop0 /home/Benutzername/geheim ein. Damit Sie auch als normaler Benutzer auf die verschlüsselte Partition zugreifen können, erweitern Sie die Partitionstabelle um folgenden Eintrag:

/dev/loop0      /home/<I>Benutzername<I>/geheim ext3 defaults,user,noauto,loop,encryption=twofish256 0 0

Danach können Sie als normaler Benutzer mit dem Befehl mount geheim/ die verschlüsselte Partition einhängen. Das funktioniert jedoch nur bis zum nächsten Neustart. Danach müssen Sie als root die Module neu laden:

modprobe twofish256
modprobe cryptoloop

und mit dem Befehl losetup /dev/loop0 film.avi erneut die Container-Datei dem Loop-Gerät zuordnen.

Tipp

Suse unterstützt als letzte Distribution über einen Kompatibilitätsmodus auch noch das alte Cryptoloop-Verfahren mit kurzen Passwörtern.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Crypto-Loop mit Suse 9.3
  • Verschlüsselte virtuelle Dateisysteme mit dem SuSE-Kryptofilesystem und BestCrypt
    Wird das Notebook geklaut, ist das ärgerlich genug. Wie gut, wenn der Dieb dann zumindest mit den darauf gespeicherten persönlichen Daten nichts anfangen kann, weil sie in einem verschlüsselten Dateisystem lagern.
  • Geheim gehalten
    Daten sicher zu halten, hat zwei Seiten: Schutz vor Verlust und Schutz vor unerlaubtem Zugriff durch Fremde. Der zweiten Bedrohung begegnen Sie, indem Sie Dateien verschlüsseln. Wir zeigen, wie Sie das erreichen – wahlweise mit Standard-Linux-Tools oder mit dem Windows-kompatiblen TrueCrypt.
  • Informationssicherheit unter Linux
    Da kann die Firewall noch so gut eingerichtet sein: Sobald ein Angreifer direkten Zugriff auf den eigenen Computer hat, liegen (spätestens nach dem Ausbau der Festplatte) alle Daten offen. Schützen kann man sich nur mit Verschlüsselungs-Software, die wir hier vorstellen wollen.
  • Kugelsicher
    So ein winziger USB-Stick geht schnell mal verloren – Pech nur, wenn sensible Daten darauf lagern. Verschlüsseln hilft gegen solche Pannen.
Kommentare

Infos zur Publikation

title_2014_09

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...