Kürzlich habe ich gezeigt, wie man mit LUKS und dem cryptsetup Befehl. Obwohl das Verschlüsseln eines ganzen Laufwerks in vielen Fällen nützlich ist, gibt es Gründe, warum Sie möglicherweise nicht ein ganzes Laufwerk verschlüsseln möchten. Beispielsweise benötigen Sie möglicherweise ein Laufwerk, um auf mehreren Plattformen zu funktionieren, von denen einige möglicherweise nicht über die Integration von Linux Unified Key Setup (LUKS) verfügen. Darüber hinaus ist es das 21. Jahrhundert, die Cloud existiert und Sie verwenden möglicherweise kein physisches Laufwerk für alle Ihre Daten.
Vor einigen Jahren gab es ein System namens TrueCrypt, mit dem Benutzer verschlüsselte Datei-„Tresore“ erstellen konnten, die von TrueCrypt entschlüsselt werden konnten, um Lese-/Schreibzugriff zu ermöglichen. Es war eine nützliche Technik und stellte im Wesentlichen ein virtuelles tragbares und vollständig verschlüsseltes Laufwerk bereit, auf dem Sie wichtige Daten speichern konnten. TrueCrypt wurde geschlossen, aber es dient als interessantes Modell.
Glücklicherweise ist LUKS ein flexibles System, und Sie können es verwenden und cryptsetup um einen verschlüsselten Tresor als eigenständige Datei zu erstellen, die Sie auf einem physischen Laufwerk oder in einem Cloud-Speicher speichern können.
So geht’s.
1. Erstellen Sie eine leere Datei
Zuerst müssen Sie eine leere Datei mit einer vorgegebenen Größe erstellen. Dieser dient als eine Art Tresor oder Safe, in dem Sie andere Dateien aufbewahren können. Der Befehl, den Sie dafür verwenden, ist fallocate, von dem util-linux Paket:
$ dd if=/dev/urandom of=vaultfile.img bs=1M count=512In diesem Beispiel wird eine 512 MB große Datei erstellt, aber Sie können Ihre Datei beliebig groß machen.
(Verwenden von /dev/urandom als Quelle von Fülldaten stellt sicher, dass ein Hexdump nicht in der Lage ist, tatsächliche Daten von leerem Raum zu unterscheiden.)
2. Erstellen Sie ein LUKS-Volume
Erstellen Sie als Nächstes ein LUKS-Volume in der leeren Datei:
$ cryptsetup --verify-passphrase
luksFormat vaultfile.img
3. Öffnen Sie das LUKS-Volume
Damit Sie ein Dateisystem für die Dateiablage erstellen können, müssen Sie zuerst das LUKS-Volume öffnen und auf Ihrem Computer mounten:
$ sudo cryptsetup open
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
4. Erstellen Sie ein Dateisystem
Erstellen Sie ein Dateisystem in Ihrem offenen Tresor:
$ sudo mkfs.ext4 -L myvault /dev/mapper/myvaultWenn Sie es gerade nicht benötigen, können Sie es schließen:
$ sudo cryptsetup close myvault5. Beginnen Sie mit der Verwendung Ihres verschlüsselten Tresors
Nachdem alles eingerichtet ist, können Sie Ihren verschlüsselten Dateitresor immer dann verwenden, wenn Sie private Daten speichern oder darauf zugreifen möchten. Um auf Ihren Tresor zuzugreifen, müssen Sie ihn als nutzbares Dateisystem mounten:
$ sudo cryptsetup open
--type luks vaultfile.img myvault
$ ls /dev/mapper
myvault
$ sudo mkdir /myvault
$ sudo mount /dev/mapper/myvault /myvault
Dieses Beispiel öffnet den Tresor mit cryptsetup und montiert dann den Tresor von /dev/mapper in ein neues Verzeichnis namens /myvault. Wie bei jedem Volume unter Linux können Sie das LUKS-Volume überall mounten, also statt /myvault, kannst du verwenden /mnt oder ~/myvault oder was auch immer Sie bevorzugen.
Während es gemountet ist, wird Ihr LUKS-Volume entschlüsselt. Sie können Dateien darauf lesen und schreiben, als ob es ein physisches Laufwerk wäre.
Wenn Sie mit der Verwendung Ihres verschlüsselten Tresors fertig sind, heben Sie die Bereitstellung auf und schließen Sie ihn:
$ sudo umount /myvault
$ sudo cryptsetup close myvault
Verschlüsselte Dateitresore
Eine Bilddatei, die Sie mit LUKS verschlüsseln, ist genauso portabel wie jede andere Datei, sodass Sie Ihren Tresor auf Ihrer Festplatte, einem externen Laufwerk oder sogar im Internet speichern können. Solange Sie LUKS zur Verfügung haben, können Sie es entschlüsseln, mounten und verwenden, um Ihre Daten zu schützen. Es ist eine einfache Verschlüsselung für verbesserte Datensicherheit, also probieren Sie es aus.