Streng geheim

Cryptsetup-luks

Leider ist Losetup nicht frei von Fehlern. So traten bei einigen Kernel-Versionen schwere Probleme mit den Dateisystemen ReiserFS und Ext3 auf. Ein Bug ermöglichte es zudem, an verschlüsselte Dateien trotzdem ranzukommen. Auf neueren Systemen sollten Sie deshalb Cryptsetup-luks verwenden. Einen ausführlichen Artikel zu Cryptsetup-luks finden Sie unter [2].

Auch hier legen Sie zunächst mit dem Befehl dd wie oben beschrieben eine Container-Datei an. Danach verknüpfen Sie diese mit einem Loop-Gerät, allerdings ohne Verschlüsselung:

losetup /dev/loop0 film.avi

Jetzt erfolgt die eigentliche Verschlüsselung über den Befehl

cryptsetup-luks -c aes-cbc-essiv:sha256 -y -s256 luksFormat /dev/loop0

Unter Ubuntu Breezy können Sie anstelle von cryptsetup-luks einfach cryptsetup schreiben, da Ubuntu bereits das neue Cryptsetup verwendet. Das Programm weist Sie darauf hin, dass auf der angegebenen Datei sämtliche Daten gelöscht werden. Um fortzufahren müssen Sie YES eintippen. Gibt der Befehl eine Fehlermeldung aus, müssen Sie eventuell noch mit modprobe aes das entsprechende Kernel-Modul laden.

Eine angelegte Containerdatei entschlüsseln Sie mit dem Befehl cryptsetup-luks luksOpen /dev/loop0 geheim. Mit diesem Befehl legt der Device-Mapper gleichzeitig die Gerätedatei /dev/mapper/geheim an. Anstelle von geheim können Sie einen beliebigen Namen verwenden. Die neue Gerätedatei formatieren Sie nun wie eine gewöhnliche Partition und mounten diese:

mkfs.ext3 /dev/mapper/geheim
mount /dev/mapper/geheim /mnt/

Nach einem Neustart müssen Sie nur noch jeweils das Loop-Gerät neu zuordnen

losetup /dev/loop0 film.avi

und das Crypto-Gerät öffnen:

cryptsetup-luks luksOpen /dev/loop/0 ↩
geheim

Mit Cryptsetup-luks verschlüsselte Partitionen lassen sich mit diesen zwei Schritten auch auf anderen Rechnern und Distributionen öffnen.