Schlagwort: Verschlüsselung

Arch Linux chrooten

Ich beziehe mich auf die Arch Linux Installationsanleitung von wiki.archlinux.de Systemverschlüsselung mit dm-crypt.

Wenn meine Arch Linux Installation aus irgend einen Grund nicht mehr booten möchte, versuche ich sie von einen Installationstick per chroot zu reparieren.

Ich boote von meinem Arch Linux Installationstick und arbeite in der Konsole.

Ich lade das deutsche Tastatur-Layout.

root@archiso ~ # loadkeys de-latin1

Ich entschlüssele die Festplatte in meinem Rechner.

root@archiso ~ # cryptsetup luksOpen /dev/sda2 lvm

Ich mounte die Partitionen der Festplatte in das Live-System.

root@archiso ~ # mount /dev/mapper/main-root /mnt
root@archiso ~ # mount /dev/mapper/main-home /mnt/home
root@archiso ~ # mount /dev/sda1 /mnt/boot

Jetzt wechsele ich in die chroot-Umgebung.

root@archiso ~ # arch-chroot /mnt

Nun kann ich mit Befehlen auf dem installierten System arbeiten. Wenn ich fertig bin verlasse ich die chroot-Umgebung.

[root@archiso /] / # exit

Ich hänge die Partitionen aus.

 root@archiso ~ # umount /mnt/boot
root@archiso ~ # #umount /mnt/home

Ich starte den Rechner neu.

root@archiso ~ #  reboot

Seit Ubuntu 12.04 können wieder Dateien per Kontextmenü verschlüsselt werden. In den Ubuntuversionen zwischen 10.04 und 12.04 war diese Funktionalität entfernt worden.
Es muss das Paket seahorse-nautilus installiert werden.

sudo apt-get install seahorse-nautilus

Nun muss der Rechner neugetartet werden, damit die Erweiterung in den Dateimanager und in das System integriert wird.

Kontextmenü im Dateimanager Nautilus
Kontextmenü Ubuntu 12.04

Möchte man nun eine Datei(Geheimedatei) verschlüsseln, muss diese rechtsgeklickt werden und im Kontextmenü Verschlüsseln … angewählt werden. Nun wählt man den öffentlichen Schlüssel des Empfängers aus und es wird die Geheimedatei.pgp erstellt.
Zum Entschlüsseln genügt ein Doppelklick auf die Geheimedatei.pgp.

Zur Beachtung: Der Dateiname bleibt lesbar. Also sollte man, um nicht neugierige Blicke anzuziehen, die Datei nicht Geheimedatei nennen.
Auf diese Weise kann man nun auch private Dateien durchs Internet schicken ohne das andere mitlesen können.

Mobile Datenträger verschlüsseln

Mobile Datenträger wie USB-Sticks und externe Festplatten, sollte man vor dem Zugriff Unberechtigter schützen. Das erreicht man durch eine gute Verschlüsselung. Unter Linux bietet sich hierzu LUKS an. Dazu muss das Paket cryptsetup installiert sein und das Modul dm-crypt geladen sein.

Mit dem Befehl lsblk listet man sich die verfügbaren Geräte auf. In meinem Beispiel ist es /dev/sdb.

Bevor es losgeht wird der Anfang der zu verschlüsselnden Partition mit Zufallsbytes überschreiben. Du Partition wird vorher ausgehangen.

sudo dd if=/dev/urandom bs=1M count=8 of=/dev/sdb

Jetzt wird die die Partition verschlüsselt. Der Vorgang muss mit YES bestätigt werden

sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/sdb

Jetzt wird der verschlüsselten Partition ein virtuelles Gerät zugewiesen /dev/mapper/backup

sudo cryptsetup luksOpen /dev/sdb backup


Die Partition wird mit ext4 formatiert

sudo mkfs.ext4 /dev/mapper/backup


Ich weise dem Dateisystem das Label Backup zu

sudo tune2fs -L Backup /dev/mapper/backup

Die Partition wird gemountet

sudo mount /dev/mapper/backup /mnt

Jetzt können Verzeichnisse angelegt werden und Rechte angepasst werden

sudo mkdir /mnt/Andreas

sudo chown -c andreas /mnt/Andreas

Die Partition wird ausgehangen

sudo umount /mnt

Die Verschlüsselung wird beendet

sudo cryptsetup luksClose backup

Wie man eine verschlüsselte Festplatte verwendet habe ich im Artikel Festplatte entschlüsseln und mounten beschrieben.

Festplatte entschlüsseln und mounten

Zum ver-und entschlüsseln muss auf dem Rechner das Paket cryptsetup installiert sein.

lsblk

sdb              8:16   0 931,5G  0 disk  

└─sdb1           8:17   0 931,5G  0 part  

  └─andi-tower 254:0    0 931,5G  0 crypt

Festplatte entschlüsseln

sudo cryptsetup luksOpen /dev/sdb1 andi-tower

Festplatte einhängen

sudo mount /dev/mapper/andi-tower /mnt/andi-tower

Festplatte aushängen

sudo umount /mnt/andi-tower

Festplatte wieder verschließen

sudo cryptsetup luksClose andi-tower