Privacy-Handbuch

Mirror von awxcnx.de, Stand: 2013-05-13
Eine aktuelle Version gibt es hier: privacy-handbuch.de oder bei Wikibooks

Container erstellen (einfach)

Alle folgenden Schritte sind als "root" auszuführen. Zum Aufwärmen soll zuerst die Partition "/dev/hda4" verschlüsselt werden. Debian und Ubuntu enthalten das Skript luksformat, dass alle Aufgaben erledigt. # luksformat -t ext3 /dev/hda4 Das ist alles. Der Vorgang dauert ein wenig und es wird 3x die Passphrase abgefragt. Ein Keyfile kann dieses Script nicht nutzen! Imagedateien können nicht erstellt werden.

Um einen USB-Stick komplett zu verschlüsseln, wählt man /dev/sdb1 oder /dev/sda1. Es ist vor(!) Aufruf des Kommandos zu prüfen, unter welchem Device der Stick zur Verfügung steht. Markus Mandalka stellt ein komfortables Script USBCryptFormat als Debian Paket zur Verfügung. Es vereinfacht mit einem GUI die Auswahl des USB-Stick und die weiteren Schritte.

Container erstellen (für Genießer)

Im folgenden werden die einzelnen Schritte für die Erstellung des Containers anhand einer verschlüsselten Imagedatei erläutert.

Soll eine Partition (Festplatte oder USB-Stick) verschlüsselt werden, entfallen die Schritte 1 und 8. Das als Beispiel genutzte Device "/dev/loop5" ist durch die Partition zu ersetzen, beispielsweise "/dev/hda5" oder "/dev/sdb1".
  1. Zuerst ist eine leere Imagedatei zu erstellen. Im Beispiel wird es unter dem Dateinamen "geheim.luks" im aktuellen Verzeichnis erstellt. Der Parameter "count" legt die Größe in MByte fest. Anschließend ist das Image als Loop-Device einzubinden. Das Kommando losetup -f ermittelt das nächste freie Loop-Device (Ergebnis: loop5). Wer weiß, dass loop0 frei ist, kann es weglassen # dd if=/dev/zero of=geheim.luks bs=1M count=100
    # losetup -f
    /dev/loop5
    # losetup /dev/loop5 geheim.luks
  2. Die ersten 2 MByte sind mit Zufallswerten zu füllen. Das Füllen der gesamten Datei würde sehr lange dauern und ist nicht nötig: # dd if=/dev/urandom of=/dev/loop5 bs=1M count=2
  3. Anschließend erfolgt die LUKS-Formatierung mit der Festlegung der Verschlüsselung. Die Option -y veranlaßt eine doppelte Abfrage des Passwortes: # cryptsetup luksFormat -c aes-cbc-essiv:sha256 -s 256 -y /dev/loop5
  4. Das formatierte Device wird dem Device-Mapper unterstellt. Dabei wird das zuvor eingegebene Passwort abgefragt. Der <name> kann frei gewählt werden. Unter /dev/mapper/<name> wird später auf den verschlüsselten Container zugegriffen: # cryptsetup luksOpen /dev/loop5 <name>
  5. Wer paranoid ist, kann das verschlüsselte Volume mit Zufallszahlen füllen. Der Vorgang kann in Abhängigkeit von der Größe der Containerdatei sehr lange dauern: # dd if=/dev/urandom of=/dev/mapper/<name>
  6. Ein Dateisystem wird auf dem Volume angelegt: # mkfs.ext3 /dev/mapper/<name>
  7. Das Volume ist nun vorbereitet und wird wieder geschlossen: # cryptsetup luksClose <name>
  8. Die Containerdatei wird ausgehängt: # losetup -d /dev/loop5
Lizenz: Public Domain | Quelle: awxcnx.de | gespiegelt von almnet.de | Impressum