Wer seine privaten Daten vor unbefugten Zugriffen schützen möchte, wird um Verschlüsselung nicht herumkommen. Unter Arch Linux eignet sich DM-Crypt um seine komplette Datenfestplatte bzw. Datenpartition zu verschlüsseln. Bei externen Datenträgern gilt es zu beachten, dass eine mit DM-Crypt verschlüsselte Platte nicht unter Windows Systemen verwendet werden kann. Hierfür gibt es aktuell nur das als unsicher geltende TrueCrypt, welches plattformunabhängig ist. Bevor es mit dem Tutorial weitergeht, möchte ich noch eine Warnung aussprechen. Die folgenden Befehle löschen alle Daten auf der angegeben Festplatte/Partition. Am besten mehrfach überprüfen, ob wirklich der richtige Datenträger ausgewählt wurde, bevor alle Daten weg sind!
In eine root Umgebung wechseln, um benötigte Berechtigungen zu erhalten.
sudo su
Festplatte/Partition finden, die verschlüsselt werden soll.
fdisk -l
Festplatte sicher löschen. Egal welche Variante gewählt wird, es sollten je nach Größe mehrere Stunden eingeplant werden.
shred -f -v -n 1 /dev/sdX
„/dev/sdX“ muss hier und in allen folgenden Beispielen an den eigenen Bereich angepasst werden. Wer die super Paranoia Methode wählen möchte, kann den Parameter „-n 1“ weglassen. Dann wird der Bereich 3 mal überschrieben. Laut einem heise Test ist dies auf halbwegs aktuellen Festplatten nicht mehr erforderlich.
Alternativ kann auch folgender Befehl zum sicheren Löschen verwendet werden.
dd if=/dev/urandom of=/dev/sdX bs=4096
Mountpoint erstellen, damit auf den verschlüsselten Bereich später zugegriffen werden kann.
mkdir /mnt/krypto
Festplatte verschlüsseln. Wer statt AES einen anderen Algorithmus verwenden möchte, kann sich im cryptsetup Handbuch informieren, was alles zur Verfügung steht.
man cryptsetup
cryptsetup -v -c aes-xts-plain64 -s 512 -h sha512 -i 5000 --use-random luksFormat /dev/sdX
Der Vorgang muss mit „YES“ bestätigt werden. Auf Großschreibung ist zu achten. Danach muss zweimal die Passphrase eingegeben werden. Diese sollte möglichst sicher und lang sein. Alles unter 12 Stellen kann gleich wieder verworfen werden. Jetzt, nachdem das verschlüsselte Laufwerk eingerichtet wurde, muss die Platte/Partition noch mit einem Dateisystem formatiert werden. Am besten eignet sich hier „ext4“. Bevor das Dateisystem erstellt werden kann, muss das Laufwerk noch geöffnet werden.
cryptsetup open --type luks /dev/sdX krypto
Jetzt kann das Dateisystem erzeugt werden.
mke2fs -t ext4 -L krypto /dev/mapper/krypto
Damit das verschlüsselt Laufwerk beim Systemstart automatisch eingebunden wird, sind noch zwei weitere Schritte erforderlich. In der „/etc/crypttab“ sowie in der „/etc/fstab“ muss jeweils ein Eintrag hinzugefügt werden.
nano /etc/crypttab
krypto UUID=9e2b659e-5d82-4427-8980-504844a8fe21 none luks,timeout=180
Um an die UUID der Festplatte zu gelangen, führt man folgenden Befehl aus.
lsblk -f
In die „/etc/fstab“ kommt folgender Eintrag.
nano /etc/fstab
/dev/mapper/krypto /mnt/krypto ext4 defaults 0 0
Beim Systemstart wird jetzt nach der Passphrase für das Laufwerk gefragt. Wird innerhalb 180 Sekunden nichts eingegeben, startet das System ohne das Laufwerk einzuhängen.
Sollte der Schreibzugriff auf das gemountete Laufwerk nicht funktionieren, kann der Besitz auf den eigenen User geändert werden.
sudo chown -R username:users /mnt/krypto