Mittwoch, 2. September 2009

Externe Festplatte mit LUKS verschlüsseln

Seit einiger Zeit benutze ich die in Ubuntu 9.04 Jaunty eingebaute Verschlüsselung eCryptfs für mein persönliches Verzeichnis. Das funktioniert auch sehr zuverlässig und schnell. Bisher habe ich überhaupt keine Probleme gehabt.

Nun möchte ich auch meine Backups auf einer externen Festplatte verschlüsselt speichern. Dazu gibt es mehrere Möglichkeiten, u.A.:
  • das plattformübergreifende Truecrypt
  • das linuxbasierende Luks
Da ich nicht vorhabe Windows einzusetzen, benutze ich Luks. Außerdem ist Luks hervorragend in den Dateimanager Nautilus integriert.

Schlau gemacht habe ich mich mit diesem Artikel von Ubuntuusers.de, allerdings sind dann noch einige Fragen bei mir offen geblieben, deshalb hier eine maßgeschneiderte Anleitung. Weitergehende Information sind über den angegebenen Link verfügbar.

Als erstes ist festzustellen, wie die externe Festplatte heißt. Also einstecken und im Terminal eingeben:

sudo fdisk -l

Es werden alle Platten aufgelistet, meine heißt /dev/sdb1.

Achtung!
Bevor man weitermacht, sollte man sich versichern, dass alle Daten auf der externen Platte und auf dem eigenem System gesichert sind. Alle Daten auf der externen Platte werden gelöscht! Bei Fehlbedienung evtl. auch alle Daten auf dem eigenem System! Wie immer kann für die Richtigkeit keine Gewähr übernommen werden! Bei Unsicherheiten auf keinen Fall die beschriebenen Aktionen durchführen!

Cryptsetup installieren und in den Kernel laden:

sudo apt-get install cryptsetup
modprobe dm-crypt

Nun das verschlüsselte Gerät auf der Platte anlegen. Der Text "Platte" ist entsprechend auszutauschen. Bei mir also gegen /dev/sdb1.

sudo cryptsetup -c aes-xts-plain -s 512 luksFormat Platte

Nach eingegebener Passphrase und erfolgt die Verschlüsselung. Diese Passphrase sollte recht lang sein, Zahlen und Sonderzeichen enthalten. Es ist auch möglich, die Passphrase auf einem USB-Stick zu speichern und sich die Eingabe zu sparen. Anschließend öffnen:

sudo cryptsetup luksOpen Platte luks

Der Text "Platte" muss wieder ausgetauscht werden. Bei mir also gegen /dev/sdb1. Der Name luks kann frei gewählt werden. Ich habe einfach luks stehen gelassen. Die Platte hängt jetzt im Verzeichnis: /dev/mapper/luks, muss aber noch formatiert werden. Ich habe ext4 benutzt.

sudo mkfs.ext4 /dev/mapper/luks

Und aushängen:

sudo umount /dev/mapper/luks

Ausstecken und wieder einstecken. Jetzt sollte Nautilus, der Gnome-Dateimanager nach der Passphrase fragen. Man kann sich entscheiden, ob man sie speichern möchte.


Nun muss man noch einmal zum Terminal zurück und die Benutzerrechte ändern, denn bis jetzt darf nur Root darauf schreiben. Bitte den eigenen Benutzernamen angeben.

Achtung, jetzt muss der neue Einhängepunkt angegeben werden! Diesen kann man sich in Nautilus in den Volumeneigenschaften des Datenträgers anzeigen lassen. Dazu muss mit dem Button "Computer" in die Computeranzeige gewechselt werden.

LUKS, Ubuntu, Verschlüsselung
sudo chown steffen:steffen /media/disk

Fertig!

Achtung die Platte immer korrekt aushängen!

Links
http://wiki.ubuntuusers.de/LUKS
http://wiki.ubuntuusers.de/Sicherheit

Wie immer kann für die Richtigkeit keine Gewähr übernommen werden! Bei Unsicherheiten auf keinen Fall oben beschriebene Aktionen durchführen!

Kommentare:

  1. Ich habe den Artikel noch mal überarbeitet, da Blogger die Formatierung durcheinander gebracht hat.

    Steffem

    AntwortenLöschen
  2. Hallo und Danke!

    ...für die ausführliche Beschreibung - landet direkt in meinen Favoriten und wird bald in die Tat umgesetzt. Momentan fehlt mir noch eine ebenso große USB-Festplatte zum zwischenzeitigen Sichern der Daten.

    Ich habe mein Notebook bereits mit der Alternate-CD von Ubuntu Jaunty verschlüsselt. Und zwar konnte man damit bei der Parititionierung auswählen, dass die gesamte Festplatte mit einem verschlüsselten LVM bespielt wird.

    Soweit ich weiß, verwendet auch diese Verschlüsselung LUKS. Das Paket cryptsetup ist somit bereits installiert und das Modul dm_crypt bereits geladen.

    Gruß
    Piccolino81

    AntwortenLöschen
  3. Ja genau,

    die von Dir angesprochene Variante mit LVM verwendet ebenfalls LUKS.

    Und sichern nicht vergessen, ich verwende dafür die WD Elements, die ist zwar etwas langsam, aber kostet auch nicht viel.

    AntwortenLöschen
  4. BTW: Mit FreeOTFE kann sogar Windows auf LUKS Partitionen zugreifen.

    AntwortenLöschen
  5. Hi,
    kann ich denn die verschlüsselte Partition auch woanders öffnen, wo luks / cryptsetup nicht installiert ist?
    Grüße,
    Jakob

    AntwortenLöschen
  6. Hallo Steffen,
    danke für das tolle HowTo!

    Es hat alles auf Anhieb wunderbar funktioniert. Nur bei einer Sache komme ich nicht weiter:

    Den Reiter "Volume" kann ich bei mir nicht finden - entsprechend kann ich auch nicht einstellen, wo das Laufwerk gemountet werden soll. Woran kann das liegen? Gibts noch andere Möglichkeiten, das einzustellen?

    Viele Grüße,
    Kai

    AntwortenLöschen
  7. Huhu!
    Der Punkt "Und aushängen: sudo umount /dev/mapper/luks" ist falsch. Die Platte ist zu diesem Zeitpunkt nicht gemountet. Um die Sicherheit herzustellen, müsste dort "cryptsetup luksClose luks" stehen.
    Boris

    AntwortenLöschen