Bei der Ubuntu – oder Mint -Installation bietet der Dialog „Wer sind Sie?“ die Option „Meine persönlichen Daten verschlüsseln“. Diese Option fußt auf dem Kryptographie-Modul dm-crypt des Linux-Kernels, das logische Laufwerke, Partitionen und Container-Dateien unterstützt. dmcrypt und seine Erweiterung Linux Unified Key Setup (Luks) sind Standard in allen jüngeren Linux-Distributionen, selbst wenn eine solche Setup-Option fehlen sollte. Unter Ubuntu und Ablegern arbeitet Luks standardmäßig mit sicherem AES 256.
Es liegt nahe, diesen Standard auch für mobile Datenträger zu nutzen, zumal das bewährte Truecrypt Anfang 2014 eingestellt wurde. Wie einfach das geht, lesen Sie hier.
So funktioniert der Schutz von „/home“
Die bei der Ubuntu-Installation eingerichtete Verschlüsselung arbeitet transparent, das heißt: Der Nutzer arbeitet mit seinen Dateien wie gewohnt und hat keinerlei Komfortnachteile. Die verschlüsselten Daten liegen unter „/home/.ecryptfs/[User]“ und werden entschlüsselt in das Home-Verzeichnis /“home/[User]“ geladen. Für den Zugang sorgt die normale Benutzeranmeldung beim System. Ohne Anmeldung, also auch beim Zugriff über ein Zweitsystem, bleiben die Daten unlesbar verschlüsselt. Nach der ersten Anmeldung beim neu installierten System mit genutzter Luks-Option erscheint ein Fenster mit dem Hinweis „Ihre Verschlüsselungspassphrase notieren“. Klicken Sie auf „Diese Aktion ausführen“. Danach geben Sie das Anmeldepasswort ein und bestätigen mit der Enter-Taste. Sie sehen dann die vom Ubuntu-Setup zufällig generierte „Passphrase“ für die Verschlüsselung (die mit dem Anmeldekennwort gekoppelt wird). Notieren Sie diese Zeichenfolge, denn Sie benötigen sie in jenen ernsten, wenn auch seltenen Pannenfällen, nach denen eine Systemanmeldung nicht mehr funktioniert.
In fünf Schritten zum sicheren USB-Stick
USB-Stick für Luks vorbereiten
Die im Alltag ebenfalls transparente Luks-Verschlüsselung für externe USB-Volumes bedarf der Vorbereitung mit einigen Kommandozeilen. Der bearbeitete USB-Stick oder sonstige USB-Datenträger sollte entweder leer sein oder nur noch Dateien enthalten, die Sie nicht mehr benötigen. Die nachfolgenden Aktionen löschen nämlich alle Daten. Eine Reihe dieser Aktionen könnten Sie auch mit grafischen Werkzeugen wie Gparted ausführen.
Da aber für wesentliche Schritte so oder so Terminal-Befehle notwendig sind, erledigen Sie besser gleich den ganzen Vorgang im Terminal. Zunächst ermitteln Sie mit
sudo blkiddie Kennung des USB-Datenträgers.
Achtung: Alle folgenden Beispielkommandos gehen von einer ermittelten Kennung „/dev/sdf“ aus, die in Ihrem Fall natürlich anders lauten kann und entsprechend angepasst werden muss.
Zunächst wird die Partitionstabelle des Sticks mit fdisk neu geschrieben:
sudo fdisk /dev/sdfGeben Sie am fdisk-Prompt „o“ ein. Wie Sie sich mit „m“ (für Hilfe) überzeugen können, legt dieser Befehl eine neue DOS-Partitionstabelle an. Sie müssen die Aktion anschließend mit dem Schreibbefehl „w“ realisieren, was zugleich fdisk beendet. Starten Sie fdisk erneut:
sudo fdisk /dev/sdfJetzt legen Sie mit dem Befehl „n“ eine neue Partition an, verwenden dabei „p“ für „primary“, „1“ für Partition 1, und die Abfrage der Start- und End-Sektoren quittieren Sie jeweils einfach mit der Eingabetaste. Auch hier muss dann am Ende ein „w“ erfolgen, um die Aktion tatsächlich auf den Datenträger zu schreiben. Nun hängen Sie das Laufwerk mit
sudo fdisk /dev/sdf1aus und formatieren es mit dem verschlüsselten Luks. Das dazu notwendige Tool cryptsetup steht auf allen verbreiteten Distributionen zur Verfügung:
sudo cryptsetup luksFormat /dev/sdf1Der Parameter „luksFormat“ ist Casesensitiv und muss genau so eingegeben werden. Die nachfolgende Bestätigung mit „YES“ erfordert Großbuchstaben. Dann werden Sie nach dem „Passsatz“ gefragt, also dem Zugangskennwort, das Sie noch ein zweites Mal bestätigen müssen. Die Eingabe erfolgt ohne Textanzeige und ohne Stellvertreterzeichen. Nun können Sie das Laufwerk mit „luksOpen“
sudo cryptsetup luksOpen /dev/sdf1 Stickin das System laden. Der Name, hier im Beispiel und auch nachfolgend immer „Stick“, ist frei wählbar. Das Laufwerk wird nun unter „/dev/mapper/“ Stick gemountet.
Zu guter Letzt braucht das Laufwerk neben Luks noch ein normales Dateiformat, was Sie mit
sudo mkfs.vfat /dev/mapper/Stick -n Stickerledigen. Das war’s. Entfernen Sie nun den Stick einfach vom Rechner. Diese ganze nicht triviale Prozedur im Terminal ist für einen Datenträger nur einmal erforderlich, die nachfolgende Benutzung des einmal präparierten Sticks ist hingegen höchst komfortabel.
USB-Stick mit Luks im Alltag
Auf jedem jüngeren Linux, an das Sie den Stick anschließen, erscheint automatisch ein Dialog zum „Entsperren des Datenträgers“. Die richtige „Passphrase“ (Kennwort) vorausgesetzt, wird das Laufwerk automatisch nach „/media/[user]/Stick“ gemountet und ist dort unverschlüsselt zugänglich. Ebenfalls automatisch lädt der Dateimanager nach dem Entsperren das betreffende Verzeichnis, so dass Sie sofort mit den Daten arbeiten können.
Technisch korrektes Aushängen eines Luks-verschlüsselten Sticks sollte eigentlich mit dem Befehl
sudo cryptsetup luksClose Stickerfolgen. Das führt nach unserer Erfahrung aber nur zu Fehlermeldungen und ist auch unnötig. Verwenden Sie einfach nach Rechtsklick die Option „Aushängen“ im Dateimanager.
Luks-verschlüsselte Datenträger lassen sich auch unter Windows nutzen. Das kostenlose Freeotfe bindet solche Datenträger unter Windows als Laufwerk ein. Freeotfe finden Sie unter https://sourceforge.net/projects/freeotfe.mirror/ . Das Programm wird – wohl aus lizenzrechtlichen Gründen – nicht mehr weiterentwickelt, erfüllt aber in der vorliegenden Version 5.21 seinen Zweck völlig ausreichend.
Autor: Hermann Apfelböck
Hermann Apfelböck gehört zur Kernmannschaft im Redaktionsbüro MucTec.