Festplatte verschlüsseln mit Luks

Die Verschlüsselung der Festplatte gehört derweil durchaus zum Standard. Mit Linux ist etwas mehr Handarbeit erforderlich, aber das Ergebnis kann sich sehen lassen.

Für den Fall, dass "cryptsetup" noch nicht auf dem System installiert wurde, kann dieses, je nach Linux-Distribution wie folgt vorgenommen werden: apt-get install cryptsetup yum install cryptsetup-luks dnf install cryptsetup-luks zypper in cryptsetup pacman -S cryptsetup emerge --ask cryptsetup

Achtung!!! Der Festplatteninhalt wird gelöscht!

Ich habe absichtlich keine Partition auf der Festplatte erstellt. Diese wird nicht benötigt und erfüllt in diesem Zusammenhang auch keinen Zweck.

Erstellen der Verschlüsselung: cryptsetup -y -v luksFormat /dev/sdX oder cryptsetup luksFormat --hash=sha512 --key-size=512 --cipher=aes-xts-plain64 --verify-passphrase /dev/sdX Der untere Befehl ist etwas ausführlicher. Bei diesem werden vor allem die Hash- und Schlüsselgröße vergrößert. - Viel hilft viel! ;-) Die "Passphrase", das anspruchsvolle Kennwort also, muss nicht nur sicher, sondern auch bei jeder Festplattenentschlüsselung (luksOpen) erneut eingegeben werden.

Öffnen der Verschlüsselung: cryptsetup luksOpen /dev/sdX dataX Um auf das entschlüsselte Gerät zugreifen zu können, muss dieses geöffnet werden. Die entschlüsselte Festplatte heißt nun nicht mehr "/dev/sdX" sondern "/dev/mapper/dataX". Dieser Umstand sollte unbedingt bedacht werden, bevor man versucht darauf zuzugreifen bzw. ein neues Dateisystem darauf zu erstellen.

Erstellen eines Dateisystems: mkfs.ext4 -L dataX /dev/mapper/dataX tune2fs -m0 /dev/mapper/dataX cryptsetup luksClose dataX Wie man sieht, wurde das ext4-Dateisystem direkt auf dem geöffneten Laufwerk "/dev/mapper/data" erstellt, mit dem Label "data" versehen (optional und nach belieben) und mittels tune2fs bis auf's letzte Byte ausgenutzt.

Alltäglicher Zugriff: cryptsetup luksOpen /dev/sdX dataX mount /dev/mapper/dataX /mnt ... umount /mnt cryptsetup luksClose dataX