Datenschutz im digitalen Alltag

Damit Privates privat bleibt

LUKS - Externe Speichermedien verschlüsseln

Die Verschlüsselung externer Speichermedien ist die notwendige Ergänzung zur Verschlüsselung des Betriebssystems bzw. der Benutzerdaten. Es widerspricht zwar der Idee eines Backups den Zugang zu selbigem einzuschränken, ist aber aus Gründen der Sicherheit absolut notwendig. Es macht keinen Sinn das Betriebssystem mit allen Daten zu verschlüsseln, wenn das Abbild des Betriebssystems auf einer externen Festplatte - am besten noch in unmittelbarer Nähe zur verschlüsselten Hardware - verfügbar ist.

Sofern man eine homogene Linux-Umgebung hat ist es am sinnvollsten die externen Speichermedien mittels LUKS (dm-crypt) zu verschlüsseln. Andere Lösungen wie Truecrypt und seine Nachfolger eignen sich vor allem, wenn die Speichermedien systemübergreifend eingesetzt werden.

Externes Speichermedium mit LUKS verschlüsseln (Konsole)

Vorab ist ein Backup auf ein drittes Medium vorzunehmen. Falsche Formatierungs- oder Verschlüsselungsbefehle können zum Verlust aller Daten führen!

Die meisten Distributionen bieten keine ausgereifte grafische Speichermedienverwaltung, die eine zuverlässige Verschlüsselung selbiger ermöglicht. Es ist deshalb in den meisten Fällen notwendig auf die Konsole auszuweichen.

Im ersten Schritt sorgt man dafür, dass das Betriebssystem mit LUKS umgehen kann. Die meisten Linux-Distributionen werden mit den entsprechenden Paketen ausgeliefert, bei Debian ist es aber z.B. in der minimalen Netzwerkinstallation nicht enthalten.

# apt-get install cryptsetup

# modprobe dm-crypt

Jetzt ist das Speichermedium, z.B. also die externe Festplatte, die neu formatiert werden soll, an den PC anzuschließen. Der Pfad /dev/sdx ist im Folgenden durch den Pfad zur externen Festplatte zu ersetzen.


Exkurs: Verschlüsselung

Im folgenden wird eine Verschlüsselung auf Basis des aes-xts Algorithmus mit 512 MB vorgenommen. Dies dürfte für die meisten Systeme ein guter Kompromiss aus Sicherheit und Schnelligkeit sein. Man kann dies jedoch mittels Cryptsetup überprüfen und ggf. einen anderen Algorithmus wählen.

Die Ausgabe sieht dann so aus:

$ cryptsetup benchmark

# Die Tests sind nur annähernd genau, da sie nicht auf die Festplatte zugreifen.
PBKDF2-sha1 946368 iterations per second
PBKDF2-sha256 590414 iterations per second
PBKDF2-sha512 466448 iterations per second
PBKDF2-ripemd160 560735 iterations per second
PBKDF2-whirlpool 179305 iterations per second
# Algorithm | Key | Encryption | Decryption
aes-cbc 128b 313,3 MiB/s 1762,6 MiB/s
serpent-cbc 128b 60,1 MiB/s 307,2 MiB/s
twofish-cbc 128b 86,8 MiB/s 178,7 MiB/s
aes-cbc 256b 361,9 MiB/s 1552,5 MiB/s
serpent-cbc 256b 71,7 MiB/s 423,9 MiB/s
twofish-cbc 256b 135,5 MiB/s 267,2 MiB/s
aes-xts 256b 1343,1 MiB/s 1176,8 MiB/s
serpent-xts 256b 356,9 MiB/s 370,8 MiB/s
twofish-xts 256b 241,4 MiB/s 229,3 MiB/s
aes-xts 512b 640,9 MiB/s 674,9 MiB/s
serpent-xts 512b 394,3 MiB/s 353,4 MiB/s
twofish-xts 512b 205,2 MiB/s 200,9 MiB/s

Wie zu sehen ist hat hier AES-XTS die besten Werte bei der Ver- und Entschlüsselung. 


# cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdx

# cryptsetup luksOpen /dev/sdx luks

Es ist zu beachten, dass eine Verschlüsselung nur so gut ist, wie das Passwort, das man verwendet. Nun muss die Platte noch formatiert werden. Die Wahl des Dateisystems kann nach persönlicher Präferenz erfolgen. Linux-Distributionen setzen in vielen Fällen noch ext4 ein, weshalb in dieser Anleitung die Formatierung damit erfolgt.

$ sudo mkfs.ext4 /dev/mapper/luks

$ sudo umount /dev/mapper/luks

Nun die Festplatte ausstecken und wieder einstecken. Eure Desktopumgebung bzw. der Dateimanager sollten euch nun nach dem Passwort fragen, dass man ggf. im Schlüsselbund des Betriebssystems speichern kann. Jedes gespeicherte Passwort kann aber ein Sicherheitsrisiko darstellen.

Tags: Verschlüsselung, LUKS, dm-crypt, Externe Festplatte

  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Betriebssystemen Weiterlesen
  • 1