Den Schlüssel herumdrehen

Danach verschließen Sie das Datengrab mit der frisch erstellten Schlüsseldatei; auch dazu benötigt Tomb wieder Root-Rechte. Die entsprechende Option lautet schlicht lock, als Parameter übergeben Sie den Namen des Containers und – zusammen mit dem Schalter -k – die Schlüsseldatei (Listing 6). Gewürzt wird das Ganze mit einem zusätzlichen Passwort, das Tomb über GTK- oder Qt-Fenster oder bei einem System ohne X-Server mit Ncurses von Ihnen abfragt (Abbildung 1). Anschließend formatiert Tomb den Container gleich mit Ext4 als Dateisystem. Bei Bedarf ändern Sie das Passwort später mit tomb passwd geheim.grab.key.

Listing 6

$ tomb lock geheim.grab -k geheim.grab.key
tomb  .  Commanded to lock tomb geheim.grab
[sudo] Enter password for user username to gain superuser privileges
tomb  .  Checking if the tomb is empty (we never step on somebody else's bones).
tomb  .  Fine, this tomb seems empty.
tomb  .  Key is valid.
tomb  .  Locking using cipher: aes-xts-plain64:sha256
tomb  .  A password is required to use key geheim.grab.key
tomb  .  Password OK.
tomb (*) Locking geheim.grab with geheim.grab.key
tomb  .  Formatting Luks mapped device.
tomb  .  Formatting your Tomb with Ext3/Ext4 filesystem.
tomb  .  Done locking secret using Luks dm-crypt aes-xts-plain64:sha256
tomb (*) Your tomb is ready in geheim.grab and secured with key geheim.grab.key
Abbildung 1: Beim Erzeugen oder Öffnen eines Crypto-Containers fragt Tomb das Passwort zur Schlüsseldatei bei Verfügbarkeit mit einem grafischen Fenster ab.

Damit liegt der Crypto-Container verschlossen und sicher auf der Festplatte; zum Beschreiben mit Daten müssen Sie ihn nun öffnen. Bemühen Sie dazu wieder Tomb im Terminal und weisen Sie das Programm diesmal mit open an, den Container mit der entsprechenden Schlüsseldatei aufzusperren (Listing 7). Auch hierzu benötigt Tomb wieder Root-Rechte und verweigert die Aktion, falls das Programm eine aktive Swap-Partition vorfindet. Schalten Sie diese daher wieder ab oder erzwingen Sie mit -f die Aktion.

Anschließend finden Sie die Daten des Containers in /run/media/Benutzer/Crypto-Container oder wohin Ihre Distribution sonst eingehängte Laufwerke einbindet. In diesem Verzeichnis arbeiten Sie ganz so, als ob es sich auf einem herkömmlichen Datenträger befände. Macht das verwendete System die Daten nur mit Root-Rechten zugänglich, ordnen Sie die Dateien im Container mit sudo chown -R $user: Pfad/zu/Container Ihrem Benutzerkonto zu. Bei Bedarf erhalten Sie zudem mit tomb list Informationen zu den gemounteten Tombs (Listing 8).

Listing 7

$ tomb open geheim.grab -k geheim.grab.key
tomb  .  Commanded to open tomb geheim.grab
tomb  .  Valid tomb file found: geheim.grab
tomb  .  Key is valid.
tomb  .  Mountpoint not specified, using default: /run/media/username/geheim
tomb (*) Opening geheim on /run/media/username/geheim
tomb  .  This tomb is a valid LUKS encrypted device.
tomb  .  Cipher is "aes" mode "xts-plain64:sha256" hash "sha1"
tomb  .  A password is required to use key geheim.grab.key
tomb  .  Password OK.
tomb (*) Success unlocking tomb geheim
tomb  .  Checking filesystem via /dev/loop0
fsck von util-linux 2.26.2
secret: sauber, 11/25168 Dateien, 8831/100352 Blöcke
tomb (*) Success opening geheim.grab on /run/media/username/geheim

Listing 8

$ tomb list
tomb  .  [geheim] open on /run/media/username/geheim using (rw,nodev,noatime,data=ordered)
tomb  .  [geheim] open since Do 13 Aug 2015 10:39:18 CEST
tomb  .  [geheim] open by username from /dev/pts/0  on ubele
tomb  .  [geheim] size 91M of which 22M (26%) is used: 63M free
tomb  .  [geheim] hooks tomb.geheim.1439455158.loop0 on /home/username/.mozilla
tomb  .  [geheim] hooks tomb.geheim.1439455158.loop0 on /home/username/.thunderbird
tomb  .  [verbuddelt] open on /run/media/username/verbuddelt using (rw,nodev,noatime,data=ordered)
tomb  .  [verbuddelt] open since Do 13 Aug 2015 10:43:02 CEST
tomb  .  [verbuddelt] open by username from /dev/pts/0  on ubele
tomb  .  [verbuddelt] size 91M of which 1,6M (2%) is used: 83M free

Benötigen Sie den geöffneten Crypto-Container nicht mehr, denn schließen Sie ihn mit tomb close wieder ab und hängen das Verzeichnis aus dem System aus. Speichern Sie dazu vorher alle aus dem Crypto-Verzeichnis geöffneten Daten und beenden die entsprechenden Anwendungen. Greifen noch Prozesse auf den Container zu oder soll es schnell gehen, dann schlagen Sie ohne Rücksicht auf Verluste mit tomb slam all die Tore aller geöffneten Tombs zu (Listing 9).

Listing 9

### Normalfall
$ tomb close
### Beendet alle Anwendungen, die auf einen Tomb zugreifen
### und verriegelt sämtliche eingehängten Tombs
$ tomb slam all

Bind-Hooks

Oft stecken wichtige Daten nicht nur in Dokumentenformaten wie TXT oder ODT, die sich leicht und gezielt in einen Crypto-Container verschieben ließen, sondern in den Einstellungen und Daten von Programmen, die die jeweilige Anwendung in Ihrem Programmordner organisiert. Das E-Mail-Programm Thunderbird etwa lagert alle E-Mails und Kontakte im Ordner ~/.thunderbird. Für Firefox gilt dasselbe, hier finden Sie die Bookmarks und andere die Privatsphäre betreffende Daten im Verzeichnis ~/.mozilla. Mithilfe von Bind-Hooks verlagern Sie solche Daten sehr bequem in ein verschlüsseltes Tomb.

Erzeugen Sie wie gewohnt das Tomb und binden Sie es ins System ein. Dann beenden Sie die gewünschten Anwendungen und verschieben deren Programmdaten aus Ihrem Home-Verzeichnis in das gemountete Tomb. Darin legen Sie mit einem beliebigen Editor eine neue Textdatei mit dem Namen bind-hooks an und tragen dort die zu verknüpfenden Verzeichnisse in Form einer einfachen Tabelle ein (Listing 10). An erster Stelle steht der relative Pfad im Tomb-Container, an zweiter Stelle folgt der relative Pfad im Home-Verzeichnis. Im einfachsten Fall wiederholen Sie daher einfach nur die Ordnernamen.

Schließen Sie nun das Tomb und erzeugen Sie die Konfigurationsordner in Ihrem Home-Verzeichnis neu. Ohne diese Ordner fehlt Tomb später ein Mountpoint. Starten Sie dazu die jeweiligen Anwendungen einfach neu oder legen Sie die Ordner im Home-Verzeichnis von Hand an. Beim nächsten Öffnen des Containers mountet Tomb nun die verschlüsselten Daten über diejenigen im normalen Home-Verzeichnis. So organisieren Sie im Handumdrehen zwei Datenbestände: einmal die unauffälligen privaten Mails und Bookmarks und – nach dem Einbinden des Tombs – automatisch die Daten, die nur Sie zu Gesicht bekommen sollten. Hängen Sie das Tomb wieder aus dem System aus, erscheinen automatisch wieder die unverfänglichen Daten – einen Neustart der Programme vorausgesetzt.

Listing 10

$ mv ~/.thunderbird /run/media/username/geheim
$ mv ~/.mozilla /run/media/username/geheim
$ cat /run/media/username/geheim/bind-hooks
.thunderbird .thunderbird
.mozilla .mozilla
pfad/im/tomb pfad/im/home
$ tomb close
$ tomb open geheim.grab -k /tmp/geheim.grab.key
$ mount | grep loop
/dev/mapper/tomb.geheim.1439392070.loop0 on /run/media/username/geheim type ext4 (rw,nodev,noatime,data=ordered)
/dev/mapper/tomb.geheim.1439392070.loop0 on /home/username/.thunderbird type ext4 (rw,nodev,noatime,data=ordered)
/dev/mapper/tomb.geheim.1439392070.loop0 on /home/username/.mozilla type ext4 (rw,nodev,noatime,data=ordered)

Tomb in der Praxis

Im Alltag sollten Sie weder den Container geheim.grab noch den Schlüssel geheim.grab.key klar als verschlüsselte Daten zu erkennen geben. Zudem sollten Schlüssel und Schloss nicht auf demselben Datenträger liegen, erst recht nicht im selben Verzeichnis. Wählen Sie daher besser unauffällige Dateinamen und verschieben Sie den Schlüssel zum Beispiel auf einen USB-Stick oder lesen Sie ihn via SSH von einem anderen Rechner aus ein. Stellen Sie dem Tomb-Aufruf zudem ein Leerzeichen voran, erscheint das Kommando üblicherweise nicht in der Shell-History. Das Beispiel aus Listing 11 tarnt den Container als VDI-Datei für VirtualBox. Legen Sie diese Datei im entsprechenden Ordner ab, fällt sie kaum auf – security by obscurity. Beachten Sie jedoch, dass die Datei aufgrund des LUKS-Headers schnell als Crypto-Container zu identifizieren ist (Listing 12) und dass die Benennung der Dateien nach der Art Name.Erweiterung und Name.Erweiterung.key erhalten bleiben muss.

Listing 11

### Allgemein
$  ssh nutzer@beispiel.net 'cat geheim.grab.key' | tomb open geheim.grab -
### Mit obskuren Dateinamen
$  ssh nutzer@beispiel.net 'cat windows-7-disk1.vdi.key' | tomb open windows-7-disk1.vdi -

Listing 12

$ file windows-7-echt.vdi
windows-7-disk1.vdi: VirtualBox Disk Image, major 1, minor 1 (<<< Oracle VM VirtualBox Disk Image >>>), 8589934592 bytes
$ file geheim.grab
geheim.grab: LUKS encrypted file, ver 1 [aes, xts-plain64:sha256, sha1] UUID: a0164b11-11e7-4115-b402-056a13d511ef
$ file windows-7-disk1.vdi
windows-7-disk1.vdi: LUKS encrypted file, ver 1 [aes, xts-plain64:sha256, sha1] UUID: a0164b11-11e7-4115-b402-056a13d511ef

Eine weitere Möglichkeit, den Schlüssel unauffällig und vor allem direkt auf dem eigenen System zu verstecken, wäre Steganografie [8]. Mit diesem Verfahren betten Sie Informationen unauffällig in andere Daten ein. Eine übliche Methode wäre zum Beispiel, die geheime Information in Bildern zu verstecken. Tomb unterstützt dieses Verfahren, sobald es auf dem System das Programm steghide als optionale Abhängigkeit findet. Mit dem Kommando bury "beerdigen" Sie den angegebenen Schlüssel in der ausgewählten Datei. Anschließend löschen Sie die Original-Schlüsseldatei geheim.grab.key vom Rechner (am besten mit wipe) oder verstecken sie zur Sicherheit zusätzlich auf einem USB-Stick gespeichert an einem unauffindbaren Ort. Bei Bedarf graben Sie den Schlüssel mit exhume aus der Bilddatei wieder aus (Listing 13).

Listing 13

$ tomb bury bild.jpg -k geheim.grab.key
tomb  .  Key is valid.
tomb (*) Encoding key
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
jA0ECQMClZs6+luhEoHm0sB6AUdMrLbJeTstE1ZVTeyj8KkTEx68ywMdMvVq9WLH
[...]
TvIdts3sqcABahEMbjKy8mW8T95v6x8tbnzFs6TRprAkhEhbdt1V3qZ5zBw=
=BB4j
-----END PGP MESSAGE-----
 inside image bild.jpg.jpg
tomb  .  Please confirm the key password for the encoding
tomb  .  A password is required to use key geheim.grab.key
tomb  .  Password OK.
Bette Standardeingabe in "bild.jpg" ein... fertig
tomb (*) Tomb key encoded succesfully into image bild.jpg
$ tomb exhume bild.jpg -k geheim.grab.key
tomb  .  Trying to exhume a key out of image bild.jpg
Extrahierte Daten wurden nach "geheim.grab.key" geschrieben.
tomb (*) Key successfully exhumed to geheim.grab.key.

Trauen Sie einem elektronischem Speicher nicht, den Schlüssel sicher und dauerhaft zu verwahren, dann bietet Tomb noch eine weitere Möglichkeit an: Mit der Option engrave schreiben Sie die Schlüsseldatei in einen QR-Code, den Sie ausdrucken und abheften können (Listing 14). Bei Bedarf lesen Sie den Code mit einem Scanner oder einfacher mit einem Smartphone und einer entsprechenden App wieder ein und kopieren den decodierten Schlüssel auf Ihren Rechner. Dort öffnen Sie das verschlossene Tomb dann mit den üblichen Kommandos. Abbildung 2 zeigt den aus einem Key erzeugten QR-Code sowie den per Steganografie in ein unauffälliges Bild eingebetteten Key – in dem Fall sehen Sie, dass Sie nichts Besonderes sehen.

Listing 14

$ tomb engrave -k geheim.grab.key
tomb [W] The key seems invalid or its format is not known by this version of Tomb.
tomb [W] Attempting key recovery.
tomb (*) Rendering a printable QRCode for key: geheim.grab.key
tomb (*) Operation successful:
-rw-r--r-- 1 username users 2,6K 12. Aug 15:50 geheim.grab.key.qr.png
Abbildung 2: Im Bild steckt der per Steganografie in den Bilddaten versteckte Schlüssel. Den QR-Code mit dem Tomb-Key könnten Sie ausdrucken und so offline speichern.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...