Symbolbild "Tresor"

Gleich ob man sein System bereits vollständig verschlüsselt hat oder nicht. Manchmal benötigt man zusätzlich noch einen verschlüsselten Container. Was liegt unter Linux da näher als einen Container mit LUKS zu erstellen. Leider einfacher gesagt, als getan, denn keine grafische Oberfläche verfügt über eine entsprechende Möglichkeit. Bleibt also nur ein Ausweichen auf die Konsole.

Grundvoraussetzung ist, dass die verwendete Distribution cryptsetup installiert hat. Sofern es also nicht installiert ist muss es aus der Paketverwaltung nachinstalliert werden.

Container erstellen

Zuerst erstellt man eine leere Datei. Das vorliegende Beispiel ist 512 MB groß und kann beliebig angepasst werden. Gleiches gilt für Speicherort und Name.

$ dd if=/dev/urandom of=LUKS_Container bs=1M count=512

Alternativ besteht auch die Möglichkeit eine so genannte Sparse-Datei zu erstellen. Diese hat eine maximale Größe zugewiesen, belegt aber auf dem Speichermedium nur die aktuell benötige Größe. Dadurch kann man verhindern, dass die Datei permanent zu klein ist.

$ dd of=LUKS_Sparsecointainer.img bs=1G count=0 seek=10

Was man hier wählt hängt ganz vom beabsichtigten Einsatzzweck ab. Im folgenden geht die Anleitung von einer statischen Datei aus. Diese existiert anschließend im Home-Verzeichnis des Benutzers in Form einer leeren Datei, die man nun einen LUKS-Container umwandelt.

# cryptsetup -c aes-xts-plain64 -s 512 -h sha512 -y luksFormat LUKS_Container

Die genauen Einstellungen zur Verschlüsselung können je nach Hardwareprofil auch angepasst werden mit den obigen Einstellungen dürften aber die meisten Anwender gut beraten sein. Bei der Einrichtung erfolgt eine Kenntwortabfrage, bei der man ein sicheres Passwort verwenden sollte. Eine Verschlüsselung ist schließlich immer nur so gut, wie das Kennwort, das man verwendet.

Um den Container als Loop-Device einzuhängen ermittelt man nun erstmal ein freies Device.

# losetup -f 

Anschließend bindet man den Container als Loop-Device ein.

# losetup /dev/loopX LUKS_Container

Nun muss natürlich noch der eigentliche Container entsperrt werden.

# cryptsetup luksOpen /dev/loopX LUKS_Container

Bei der anschließenden Passwortabfrage gibt man das oben gewählte Kennwort ein.

Der Container braucht nun noch ein Dateisystem. Hier hat man die volle Auswahl, liegt mit ext4 aber sicher nicht falsch.

# mkfs.ext4 /dev/mapper/LUKS_Container

Dieses Dateisystem bindet man anschließend ein.

# mount - t ext4 /dev/mapper/LUKS_Container /mnt

Sofern man nur ein Benutzer auf den Container zugreifen soll, kann man diesen zum Eigentümer machen. Dann kann der Container normal im Dateimanager genutzt werden.

# chown -R <Benutzer> /mnt

Container verwenden

Um den Container zu nutzen muss man ihn nun immer zuerst als Loop-Laufwerk einhängen

# losetup -f

# losetup /dev/loopX LUKS_Container

Anschließend kann man den Container ganz normal über den Dateimanager und die integrierte Passwortabfrage entsperren.

Fazit

Der Aufwand für LUKS lohnt sich nur bedingt, da kaum Komfortfunktionen oder gar grafische Programme zur Verwaltung verfügbar sind. Einfacher geht es mit einer VeraCrypt Installation (siehe: VeraCrypt – Systemübergreifende Verschlüsselung), deren Container sogar betriebssystemübergreifend genutzt werden können.

Wenn der Einsatz von VeraCrypt nicht in Frage kommt bietet LUKS jedoch eine gangbare Alternative.


Bilder:
Einleitungsbild und Beitragsbild von von MasterTux via pixabay / Lizenz: CC0 Creative Commons

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein