Daten auf mobilen Datenträgern sind nur so lange sicher, wie der physikalische Zugriff Unbefugter Personen unterbunden werden kann.
Da dieses niemals ausgeschlossen werden kann, sollte man externe Datenträger, mobile Datenträger (Laptop, Festplatte usw.) mit sensiblen/ privaten Daten verschlüsseln.
Was ist sensibel? Das ist wohl jedem selber überlassen. Mir selbst ist es egal, ob auf meinem Laptop die Systemplatte unverschlüsselt in “böse” Hände gelangt. Aber die Daten, die ich mobil mitnehmen muss, die möchte ich schon gerne unbefugten unzugänglich machen.
Hierzu eignet sich dm-crypt, ein Modul für den Linux Kernel. Die Einrichtung ist eigentlich ganz einfach. Hierzu muss das tool cryptsetup installiert sein. Einfach mit
console# sudo yum install cryptsetup installieren, sollte es noch nicht installiert sein.
Einrichtung am Beispiel einer externen Festplatte, die als /dev/sdc1 im System ist:
Vorarbeit:
Man benötigt einen Kernel mit Unterstützung von aes, dm-crypt und dm-mod. Man kann mit lsmod | grep Modulname prüfen, ob der aufgelistet wird:
console# lsmod | grep aes
aes_i586 15744 4
aes_generic 35880 1 aes_i586
Damit dieses reboot-sicher wird, einfach in der /etc/modules diese Module angeben:
aes
dm-crypt
dm-mod
Mit cryptsetup wird eine Verschlüsselung mit Passwort angelegt. Als Keylänge wird hier 512 (overhead von 256 zu dem AES256) gewählt, Passwort wird zweifach abgefragt:
console# sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdc1
Statt der Eingabe eines Passwortet lassen sich auch Passwortdateien auswählen. Das erhöht (meistens) die Sicherheit, verringert allerdings die Merkbarkeit.
LUKS bietet noch den Vorteil, mehrere Passwörter speichern zu können. Somit kann man ein sicheres, ausreichend langes Passwort für die tägliche Nutzung einrichten. Sollte man es doch mal vergessen, hat man noch ein sehr langes, noch kryptischeres und schwerer zu merkendes Passwort an einem sicheren Ort aufgehoben.
Nun muss noch mit luksOpen das Device “gestartet” werden, wir geben ihm den Namen “geheimeplatte”:
console# sudo cryptsetup luksOpen /dev/sdc1 geheimeplatte
Zur erstmaligen Nutzung muss noch ein Dateisystem angelegt werden. Hierzu nehmen wir ext3 mit der Option “-m 0″ (no reserved space for root):
console# sudo mkfs.ext3 -m 0 /dev/mapper/geheimeplatte
Nun können wir das verschlüsselte Device mounten und nutzen. Alle Daten werden transparent durch den Devicemapper und dm-crypt verschlüsselt auf die Festplatte geschrieben und von dort gelesen:
console# sudo mount /dev/mapper/geheimeplatte /media/sdc1
Natürlich möchte man irgenwann die gemountete Festplatte abziehen bzw. die Entschlüsselung beenden. Hierzu einfach die Platte unmounten und den Devicemapper stoppen:
console# sudo umount /media/sdc1
console# sudo cryptsetup luksClose geheimeplatte
Versucht man nun, die Platte wieder zu mounten, ohne den Devicemapper gestartet zu haben, erhält man eine Fehlermeldung:
mount: unbekannter Dateisystemtyp „crypto_LUKS“
Neuere Linux-Distributionen haben eine automatische Erkennung des Dateisystems crypto_LUKS und starten die Passwortabfrage automatisch. Wird dieses Passwort nun korrekt eingegeben, bindet das System die Platte automatisch ein und stellt diese zur Verfügung. Allerdings wird hier automatisch ein Platz zum Mounten genommen, nicht der oben genutzte. Man kann über den Befehl mount das entsprechende Ziel erkennen:
/dev/mapper/luks_crypto_irgendeineBuchstabenZahlenkombination on /media/disk type ext3 (rw,nosuid,nodev,uhelper=hal)
Die verschlüsselte Festplattenpartition steht somit als /media/disk im System zur Verfügung und kann genutzt werden.
Statusinfos über das crypto-Device erhält man über
console# sudo cryptsetup status geheimeplatte
/dev/mapper/geheimeplatte is active:
cipher: aes-xts-plain
keysize: 512 bits
device: /dev/sdc1
offset: 4040 sectors
size: 156292282 sectors
mode: read/write
Was man allerdings nie vergessen darf: Auch Verschlüsselung ist nur so sicher, wie der Anwender! Das bedeutet, dass auch hier Schwachstellen bei der Handhabung/ Auswahl von Passwörtern vorliegen können. Weiterhin ist eine Verschlüsselung mit (ausreichend) Aufwand, zu entschlüsseln. Man sollte sich keinen Illusionen hingeben…..
Gute Links mit weiteren Infos:
http://de.wikipedia.org/wiki/Dm-crypt#Anwendung
http://wiki.archlinux.org/index.php/LUKS_Encrypted_Root
http://ubuntu-tutorials.com/2007/08/17/7-steps-to-an-encrypted-partition-local-or-removable-disk/
http://www.fedorawiki.de/index.php?title=Verschl%C3%BCsselte_Festplatten#Beim_Systemstart_mounten
Daten auf mobilen Datenträgern sind nur so lange sicher, wie der physikalische Zugriff Unbefugter Personen unterbunden werden kann.
Da dieses niemals ausgeschlossen werden kann, sollte man externe Datenträger, mobile Datenträger (Laptop, Festplatte usw.) mit sensiblen/ privaten Daten verschlüsseln.
Was ist sensibel? Das ist wohl jedem selber überlassen. Mir selbst ist es egal, ob auf meinem Laptop die Systemplatte unverschlüsselt in "böse" Hände gelangt. Aber die Daten, die ich mobil mitnehmen muss, die möchte ich schon gerne unbefugten unzugänglich machen.
Hierzu eignet sich dm-crypt, ein Modul für den Linux Kernel. Die Einrichtung ist eigentlich ganz einfach. Hierzu muss das tool cryptsetup installiert sein. Einfach mit
console# sudo yum install cryptsetup installieren, sollte es noch nicht installiert sein.
Einrichtung am Beispiel einer externen Festplatte, die als /dev/sdc1 im System ist:
Vorarbeit:
Man benötigt einen Kernel mit Unterstützung von aes, dm-crypt und dm-mod. Man kann mit lsmod | grep Modulname prüfen, ob der aufgelistet wird:
console# lsmod | grep aes
aes_i586 15744 4
aes_generic 35880 1 aes_i586
Damit dieses reboot-sicher wird, einfach in der /etc/modules diese Module angeben:
aes
dm-crypt
dm-mod
Mit cryptsetup wird eine Verschlüsselung mit Passwort angelegt. Als Keylänge wird hier 512 (overhead von 256 zu dem AES256) gewählt, Passwort wird zweifach abgefragt:
console# sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdc1
Statt der Eingabe eines Passwortet lassen sich auch Passwortdateien auswählen. Das erhöht (meistens) die Sicherheit, verringert allerdings die Merkbarkeit.
LUKS bietet noch den Vorteil, mehrere Passwörter speichern zu können. Somit kann man ein sicheres, ausreichend langes Passwort für die tägliche Nutzung einrichten. Sollte man es doch mal vergessen, hat man noch ein sehr langes, noch kryptischeres und schwerer zu merkendes Passwort an einem sicheren Ort aufgehoben.
Nun muss noch mit luksOpen das Device "gestartet" werden, wir geben ihm den Namen "geheimeplatte":
console# sudo cryptsetup luksOpen /dev/sdc1 geheimeplatte
Zur erstmaligen Nutzung muss noch ein Dateisystem angelegt werden. Hierzu nehmen wir ext3 mit der Option "-m 0" (no reserved space for root):
console# sudo mkfs.ext3 -m 0 /dev/mapper/geheimeplatte
Nun können wir das verschlüsselte Device mounten und nutzen. Alle Daten werden transparent durch den Devicemapper und dm-crypt verschlüsselt auf die Festplatte geschrieben und von dort gelesen:
console# sudo mount /dev/mapper/geheimeplatte /media/sdc1
Natürlich möchte man irgenwann die gemountete Festplatte abziehen bzw. die Entschlüsselung beenden. Hierzu einfach die Platte unmounten und den Devicemapper stoppen:
console# sudo umount /media/sdc1
console# sudo cryptsetup luksClose geheimeplatte
Versucht man nun, die Platte wieder zu mounten, ohne den Devicemapper gestartet zu haben, erhält man eine Fehlermeldung:
mount: unbekannter Dateisystemtyp „crypto_LUKS“
Neuere Linux-Distributionen haben eine automatische Erkennung des Dateisystems crypto_LUKS und starten die Passwortabfrage automatisch. Wird dieses Passwort nun korrekt eingegeben, bindet das System die Platte automatisch ein und stellt diese zur Verfügung. Allerdings wird hier automatisch ein Platz zum Mounten genommen, nicht der oben genutzte. Man kann über den Befehl mount das entsprechende Ziel erkennen:
/dev/mapper/luks_crypto_irgendeineBuchstabenZahlenkombination on /media/disk type ext3 (rw,nosuid,nodev,uhelper=hal)
Die verschlüsselte Festplattenpartition steht somit als /media/disk im System zur Verfügung und kann genutzt werden.
Statusinfos über das crypto-Device erhält man über
console# sudo cryptsetup status geheimeplatte
/dev/mapper/geheimeplatte is active:
cipher: aes-xts-plain
keysize: 512 bits
device: /dev/sdc1
offset: 4040 sectors
size: 156292282 sectors
mode: read/write
Was man allerdings nie vergessen darf: Auch Verschlüsselung ist nur so sicher, wie der Anwender! Das bedeutet, dass auch hier Schwachstellen bei der Handhabung/ Auswahl von Passwörtern vorliegen können. Weiterhin ist eine Verschlüsselung mit (ausreichend) Aufwand, zu entschlüsseln. Man sollte sich keinen Illusionen hingeben.....
Gute Links mit weiteren Infos:
http://de.wikipedia.org/wiki/Dm-crypt#Anwendung
http://wiki.archlinux.org/index.php/LUKS_Encrypted_Root
http://ubuntu-tutorials.com/2007/08/17/7-steps-to-an-encrypted-partition-local-or-removable-disk/
http://www.fedorawiki.de/index.php?title=Verschl%C3%BCsselte_Festplatten#Beim_Systemstart_mounten
