2060394

Luks-Verschlüsselung auf USB-Sticks übertragen

09.04.2015 | 13:03 Uhr |

Der Linux-Kernel hat eine eingebaute Verschlüsselungsfunktion. Ubuntu oder Linux Mint nutzen diese seit einigen Versionen direkt beim Setup. Mit geringem Aufwand chiffrieren Sie damit aber auch mobile Datenträger wie USB-Sticks.

Bei der Ubuntu - oder Mint -Installation bietet der Dialog „Wer sind Sie?“ die Option „Meine persönlichen Daten verschlüsseln“. Diese Option fußt auf dem Kryptographie-Modul dm-crypt des Linux-Kernels, das logische Laufwerke, Partitionen und Container-Dateien unterstützt. dmcrypt und seine Erweiterung Linux Unified Key Setup (Luks) sind Standard in allen jüngeren Linux-Distributionen, selbst wenn eine solche Setup-Option fehlen sollte. Unter Ubuntu und Ablegern arbeitet Luks standardmäßig mit sicherem AES 256.

Es liegt nahe, diesen Standard auch für mobile Datenträger zu nutzen, zumal das bewährte Truecrypt Anfang 2014 eingestellt wurde. Wie einfach das geht, lesen Sie hier.

So funktioniert der Schutz von „/home“

Die bei der Ubuntu-Installation eingerichtete Verschlüsselung arbeitet transparent, das heißt: Der Nutzer arbeitet mit seinen Dateien wie gewohnt und hat keinerlei Komfortnachteile. Die verschlüsselten Daten liegen unter „/home/.ecryptfs/[User]“ und werden entschlüsselt in das Home-Verzeichnis /“home/[User]“ geladen. Für den Zugang sorgt die normale Benutzeranmeldung beim System. Ohne Anmeldung, also auch beim Zugriff über ein Zweitsystem, bleiben die Daten unlesbar verschlüsselt. Nach der ersten Anmeldung beim neu installierten System mit genutzter Luks-Option erscheint ein Fenster mit dem Hinweis „Ihre Verschlüsselungspassphrase notieren“. Klicken Sie auf „Diese Aktion ausführen“. Danach geben Sie das Anmeldepasswort ein und bestätigen mit der Enter-Taste. Sie sehen dann die vom Ubuntu-Setup zufällig generierte „Passphrase“ für die Verschlüsselung (die mit dem Anmeldekennwort gekoppelt wird). Notieren Sie diese Zeichenfolge, denn Sie benötigen sie in jenen ernsten, wenn auch seltenen Pannenfällen, nach denen eine Systemanmeldung nicht mehr funktioniert.

In fünf Schritten zum sicheren USB-Stick

USB-Stick für Luks vorbereiten

Die im Alltag ebenfalls transparente Luks-Verschlüsselung für externe USB-Volumes bedarf der Vorbereitung mit einigen Kommandozeilen. Der bearbeitete USB-Stick oder sonstige USB-Datenträger sollte entweder leer sein oder nur noch Dateien enthalten, die Sie nicht mehr benötigen. Die nachfolgenden Aktionen löschen nämlich alle Daten. Eine Reihe dieser Aktionen könnten Sie auch mit grafischen Werkzeugen wie Gparted ausführen.

Stick mit fdisk vorbereiten: Es entsteht eine primäre Partition ohne Dateisystem, um die Luks-Formatierung zu ermöglichen.
Vergrößern Stick mit fdisk vorbereiten: Es entsteht eine primäre Partition ohne Dateisystem, um die Luks-Formatierung zu ermöglichen.

Da aber für wesentliche Schritte so oder so Terminal-Befehle notwendig sind, erledigen Sie besser gleich den ganzen Vorgang im Terminal. Zunächst ermitteln Sie mit

sudo blkid

die Kennung des USB-Datenträgers.

Achtung: Alle folgenden Beispielkommandos gehen von einer ermittelten Kennung „/dev/sdf“ aus, die in Ihrem Fall natürlich anders lauten kann und entsprechend angepasst werden muss.

Zunächst wird die Partitionstabelle des Sticks mit fdisk neu geschrieben:

sudo fdisk /dev/sdf

Geben Sie am fdisk-Prompt „o“ ein. Wie Sie sich mit „m“ (für Hilfe) überzeugen können, legt dieser Befehl eine neue DOS-Partitionstabelle an. Sie müssen die Aktion anschließend mit dem Schreibbefehl „w“ realisieren, was zugleich fdisk beendet. Starten Sie fdisk erneut:

sudo fdisk /dev/sdf

Jetzt legen Sie mit dem Befehl „n“ eine neue Partition an, verwenden dabei „p“ für „primary“, „1“ für Partition 1, und die Abfrage der Start- und End-Sektoren quittieren Sie jeweils einfach mit der Eingabetaste. Auch hier muss dann am Ende ein „w“ erfolgen, um die Aktion tatsächlich auf den Datenträger zu schreiben. Nun hängen Sie das Laufwerk mit

sudo fdisk /dev/sdf1

aus und formatieren es mit dem verschlüsselten Luks. Das dazu notwendige Tool cryptsetup steht auf allen verbreiteten Distributionen zur Verfügung:

sudo cryptsetup luksFormat /dev/sdf1

Der Parameter „luksFormat“ ist Casesensitiv und muss genau so eingegeben werden. Die nachfolgende Bestätigung mit „YES“ erfordert Großbuchstaben. Dann werden Sie nach dem „Passsatz“ gefragt, also dem Zugangskennwort, das Sie noch ein zweites Mal bestätigen müssen. Die Eingabe erfolgt ohne Textanzeige und ohne Stellvertreterzeichen. Nun können Sie das Laufwerk mit „luksOpen“

sudo cryptsetup luksOpen /dev/sdf1 Stick

in das System laden. Der Name, hier im Beispiel und auch nachfolgend immer „Stick“, ist frei wählbar. Das Laufwerk wird nun unter „/dev/mapper/“ Stick gemountet.

Zu guter Letzt braucht das Laufwerk neben Luks noch ein normales Dateiformat, was Sie mit

sudo mkfs.vfat /dev/mapper/Stick -n Stick

erledigen. Das war’s. Entfernen Sie nun den Stick einfach vom Rechner. Diese ganze nicht triviale Prozedur im Terminal ist für einen Datenträger nur einmal erforderlich, die nachfolgende Benutzung des einmal präparierten Sticks ist hingegen höchst komfortabel.

Formatierung und Kennwortvergabe: Nach der Vorbereitung durch fdisk und den hier abgebildeten vier Kommandos ist der verschlüsselte Datenträger einsatzbereit.
Vergrößern Formatierung und Kennwortvergabe: Nach der Vorbereitung durch fdisk und den hier abgebildeten vier Kommandos ist der verschlüsselte Datenträger einsatzbereit.

USB-Stick mit Luks im Alltag

Auf jedem jüngeren Linux, an das Sie den Stick anschließen, erscheint automatisch ein Dialog zum „Entsperren des Datenträgers“. Die richtige „Passphrase“ (Kennwort) vorausgesetzt, wird das Laufwerk automatisch nach „/media/[user]/Stick“ gemountet und ist dort unverschlüsselt zugänglich. Ebenfalls automatisch lädt der Dateimanager nach dem Entsperren das betreffende Verzeichnis, so dass Sie sofort mit den Daten arbeiten können.

Technisch korrektes Aushängen eines Luks-verschlüsselten Sticks sollte eigentlich mit dem Befehl

sudo cryptsetup luksClose Stick

erfolgen. Das führt nach unserer Erfahrung aber nur zu Fehlermeldungen und ist auch unnötig. Verwenden Sie einfach nach Rechtsklick die Option „Aushängen“ im Dateimanager.

Luks-verschlüsselte Datenträger lassen sich auch unter Windows nutzen. Das kostenlose Freeotfe bindet solche Datenträger unter Windows als Laufwerk ein. Freeotfe finden Sie unter http://sourceforge.net/projects/freeotfe.mirror/ . Das Programm wird – wohl aus lizenzrechtlichen Gründen – nicht mehr weiterentwickelt, erfüllt aber in der vorliegenden Version 5.21 seinen Zweck völlig ausreichend.

Dieser Artikel stammt aus der LinuxWelt 1/2015

In der LinuxWelt 1/2015 stellen wir Ihnen die besten aktuellen Linux-Systeme vor, die Sie alle auch auf der Heft-DVD finden.

0 Kommentare zu diesem Artikel
2060394