Festplattenverschlüsselung unter linux (2.6-Kernel)
am Beispiel von Slackware 11.0
see english – version on the next page…
Triggers-World.de übernimmt keine Haftung bei Schäden, die durch das Nachahmen dieses Artikels entstehen können. Jeder Leser übernimmt selbst das Risiko von Garantie- und Datenverlust bis hin zur Beschädigung seiner Hardware!
Mit der hier vorgestellten Methode verschlüsselt man – natürlich – nicht die Festplatte sondern “nur” eine Partition. Dazu wird mit Hilfe von cryptsetup-luks die Partition verschlüsselt. Anschließend kann man sie dann mit Hilfe des Passworts “öffnen” und “schließen” und zwischendurch über ein virtuelles device /dev/mapper/[name] ansprechen und nach der Installation eines Dateisystems auch einbinden (mounten). Dieses ist in diesem Beispiel ext2. Man kann aber sicherlich auch andere nehmen.
Nötige Dateien:
- devmapper_1.02.08.orig.tar.gz
- cryptsetup-luks-1.0.4.tar.bz2
- libgcrypt-1.2.4.tar.gz
- libgpg-error-1.5.tar.bz2
Es müssen natürlich nicht diese Versionen sein. Neuere stabile werden es höchstwahrscheinlich auch tun.
Nötige Kernelkonfiguration (2.6)
Code maturity level options --->
[*] Prompt for development and/or incomplete code/drivers
Device Drivers --> RAID and LVM Support -->
[*] Multiple devices driver support (RAID and LVM)
<*> Device mapper support
<*> Crypt target support
Cryptographic Options -->
<*> AES cipher algorithims (i586)
<*> SHA256 digest algorithm
Device Drivers --> Block Devices -->
<*> Loopback device support
Reihefolge
- 1.libgpg-error
- 2.libcrypt
- 3.devmapper
- 4.cryptsetup-luks
Nun muss man erstmal die benötigte Software installieren. Wegen Abhängigkeiten ist es am besten die Reihenfolge einzuhalten… Ansonsten immer alles beim alten :
- 0.Rootrechte werden im Folgendem im Zweifel immer benötigt.
- 1.Entpacken
- 2../configure
- 3.make
- 4.make install
Partition einrichten
Sind wir damit fertig können wir auch schon ans Eingemachte gehen. Dazu brauchen wir ersteinmal eine leere (!) Partition. Alle Dateien, die auf der Partition noch existieren werden gelöscht! In meinem Fall ist das /dev/sda4. Ich besitze SATA. ATA-User werden entsprechend wohl /dev/hda1 oder ähnliches verwenden. Vorsicht ist allerdings wie gesagt geboten. Nicht das man die falsche Partition erwischt! Als Dateisystem verwenden wir hier ext2.
root@sparta:~# cryptsetup -c aes-cbc-essiv:sha256 -y luksFormat /dev/sda4
WARNING!
========
This will overwrite data on /dev/sda4 irrevocably.Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
root@sparta:~# cryptsetup luksOpen /dev/sda4 geheim
mkfs.ext2 /dev/mapper/geheim
Partition öffnen
(Das Ausführen von cryptsetup kann man sich sparen, wenn man diese Anleitung von Anfang an nachvollzogen hat.)
cryptsetup luksOpen /dev/sda4 geheim
mount /dev/mapper/geheim /mnt/crypt
Über /mnt/crypt kann man nun unsere verschlüsselte Partition erreichen. Will man sie nun wieder schließen tut man folgendes.
Partition schliessen
umount /mnt/crypt
cryptsetup luksClose geheim
Der tägliche Gebrauch
Um die Partition gleich in den Bootvorgang zu integrieren kann man einfach folgendes an die /etc/rc.d/rc.lokal anhängen:
cryptsetup luksOpen /dev/sda4 geheim
mount /dev/mapper/geheim /mnt/crypt
Quellen
http://www.linuxforen.de/forums/showthread.php?t=207968 “DaGrrr”
Feedback
Für positive und negative Kritik bitten einfach die E-Mailadresse unter ‘Impressum’ nutzen. Ich würde mich freuen!