LUKS - Externe Speichermedien verschlüsseln

Foto: © marcus_hofmann / Fotolia.com

Foto: © marcus_hofmann / Fotolia.com

Die Verschlüsselung externer Speichermedien ist die notwendige Ergänzung zur Verschlüsselung des Betriebssystems bzw. der Benutzerdaten. Es widerspricht zwar der Idee eines Backups den Zugang zu selbigem einzuschränken, ist aber aus Gründen der Sicherheit absolut notwendig. Es macht keinen Sinn das Betriebssystem mit allen Daten zu verschlüsseln, wenn das Abbild des Betriebssystems auf einer externen Festplatte - am besten noch in unmittelbarer Nähe zur verschlüsselten Hardware - verfügbar ist.

Sofern man eine homogene Linux-Umgebung hat ist es am sinnvollsten die externen Speichermedien mittels LUKS (dm-crypt) zu verschlüsseln. Andere Lösungen wie Truecrypt und seine Nachfolger eignen sich vor allem, wenn die Speichermedien systemübergreifend eingesetzt werden.

 Externes Speichermedium mit LUKS verschlüsseln (Konsole)

Achtung!

Vorab ist ein Backup auf ein drittes Medium vorzunehmen. Falsche Formatierungs- oder Verschlüsselungsbefehle können zum Verlust aller Daten führen!

Die meisten Distributionen bieten keine ausgereifte grafische Speichermedienverwaltung, die eine zuverlässige Verschlüsselung selbiger ermöglicht. Es ist deshalb in den meisten Fällen notwendig auf die Konsole auszuweichen.

Im ersten Schritt sorgt man dafür, dass das Betriebssystem mit LUKS umgehen kann. Die meisten Linux-Distributionen werden mit den entsprechenden Paketen ausgeliefert, bei Debian ist es aber z.B. in der minimalen Netzwerkinstallation nicht enthalten.

# apt-get install cryptsetup

# modprobe dm-crypt

Jetzt ist das Speichermedium, z.B. also die externe Festplatte, die neu formatiert werden soll, an den PC anzuschließen. Der Pfad /dev/sdx ist im Folgenden durch den Pfad zur externen Festplatte zu ersetzen.

# cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdx

# cryptsetup luksOpen /dev/sdx luks

Es ist zu beachten, dass eine Verschlüsselung nur so gut ist, wie das Passwort, das man verwendet. Nun muss die Platte noch formatiert werden. Die Wahl des Dateisystems kann nach persönlicher Präferenz erfolgen. Linux-Distributionen setzen in vielen Fällen noch ext4 ein, weshalb in dieser Anleitung die Formatierung damit erfolgt.

$ sudo mkfs.ext4 /dev/mapper/luks

$ sudo umount /dev/mapper/luks

Nun die Festplatte ausstecken und wieder einstecken. Eure Desktopumgebung bzw. der Dateimanager sollten euch nun nach dem Passwort fragen, dass man ggf. im Schlüsselbund des Betriebssystems speichern kann. Jedes gespeicherte Passwort kann aber ein Sicherheitsrisiko darstellen.

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top