Zum Inhalt springen

Ubuntu: Verschlüsselung einer Festplatte

    Kurze Begriffserklärung

    Device Mapper
    Der Device Mapper ist ein Kernel-Treiber der als Basis für Logical Volume Manager (LVM) und weitere Technologien dient. Device Mapper unterstützt beim Management von Laufwerken.

    dm-crypt
    Dm-crypt ist ein Kryptographie-Modul des Device Mappers. Man kann mit dm-crypt Daten mit verschiedenen Algorithmen ver- und entschlüsseln. Dm-crypt unterstützt eine Vielzahl von Verschlüsselungsalgorithmen, da es die Crypto API des Linuxkernels nutzt.

    LUKS
    LUKS steht für ‚Linux Unified Key Setup‘ und ist eine Erweiterung von dm-crypt. LUKS erweitert die verschlüsselten Daten um einen zusätzlichen Header, in dem Metadaten, sowie bis zu acht Schlüssel gespeichert werden können.
    Vorteile gegenüber dem „reinem“ dm-crypt sind: ein standardisiertes Format, Informationen über die Art der Verschlüsselung im Header, Vergabe von bis zu acht Schlüsseln sowie die Änderung von Schlüsseln. Diese Funktionen wären mit dm-crypt alleine nicht möglich.

    Installation
    Benötigte Pakete
    – cryptsetup
    – libpam-mount

    Kernelmodule laden
    Durch die Eingabe von ‚ modprobe aes dm-crypt dm-mod sha256 ‚ innerhalb der Shell, werden die Kernelmodule einmalig geladen.

    Um die Kernelmodule bei jedem Start automatisch zu laden, muss die Datei /etc/modules erweitert werden.
    – aes
    – dm-crypt
    – dm-mod
    – sha256

    Verschlüsselung der Partition /dev/sdb1
    // Partition Erstellung
    cryptsetup -c aes-lrw-benbi -y -s 384 luksFormat /dev/sdb1
    // Ausgabe der LUKS header Informationen für /dev/sdb1
    cryptsetup luksDump /dev/sdb1
    // LUKS-Gerät anschließen (sdb1 darf nicht gemountet sein)
    cryptsetup luksOpen /dev/sdb1 storage
    // Formatierung (ext3)
    mkfs.ext3 -l /media/storage /dev/mapper/storage
    // Mounten der Partition
    mount /dev/mapper/storage /media/storage
    // Anpassung der Rechte
    chown -R aaron:aaron /media/storage/

    Alias
    // Erstellung von Alias, unter ~/.bashrc ,um die Verschlüsselte Partition via Shell zu öffnen und zu schließen
    alias ustorage=’umount /dev/mapper/storage; cryptsetup luksClose storage‘
    alias mstorage=’cryptsetup luksOpen /dev/sdb1 storage‘

    Quellen:
    http://pupeno.com/blog/encrypted-home-in-ubuntu-8-10
    http://de.wikipedia.org/wiki/LUKS
    http://en.wikipedia.org/wiki/Device_mapper
    http://code.google.com/p/cryptsetup/