Viele Leute betrachten Festplatten als sicher, weil sie sie physisch besitzen. Es ist schwierig, die Daten auf einer Festplatte zu lesen, die Sie nicht haben, und viele Leute denken, dass der Schutz ihres Computers mit einer Passphrase die Daten auf der Festplatte unlesbar macht.
Dies ist nicht immer der Fall, zum Teil, weil eine Passphrase in einigen Fällen nur dazu dient, eine Benutzersitzung zu entsperren. Mit anderen Worten, Sie können einen Computer einschalten, aber da Sie keine Passphrase haben, können Sie nicht auf den Desktop zugreifen und haben daher keine Möglichkeit, Dateien zu öffnen, um sie anzuzeigen.
Das Problem, wie viele Computertechniker verstehen, besteht darin, dass Festplatten aus Computern extrahiert werden können und einige Laufwerke bereits von Natur aus extern sind (z. B. USB-Sticks), sodass sie an jeden Computer angeschlossen werden können, um vollen Zugriff auf die Daten über sie. Sie müssen ein Laufwerk auch nicht physisch von seinem Computer-Host trennen, damit dieser Trick funktioniert. Computer können von einem tragbaren Boot-Laufwerk gebootet werden, das ein Laufwerk von seinem Host-Betriebssystem trennt und es virtuell in ein externes Laufwerk verwandelt, das zum Lesen verfügbar ist.
Die Antwort besteht darin, die Daten auf einem Laufwerk in einen digitalen Tresor zu legen, der ohne Informationen, auf die nur Sie Zugriff haben, nicht geöffnet werden kann.
Linux Unified Key Setup (LUKS) ist ein Festplattenverschlüsselungssystem. Es bietet einen generischen Schlüsselspeicher (und zugehörige Metadaten und Wiederherstellungshilfen) in einem dedizierten Bereich auf einer Festplatte mit der Möglichkeit, mehrere Passphrasen (oder Schlüsseldateien) zu verwenden, um einen gespeicherten Schlüssel zu entsperren. Es ist flexibel gestaltet und kann sogar Metadaten extern speichern, sodass es in andere Tools integriert werden kann. Das Ergebnis ist eine vollständige Laufwerkverschlüsselung, sodass Sie alle Ihre Daten sicher speichern können – selbst wenn Ihr Laufwerk physisch oder durch Software von Ihrem Computer getrennt ist.
Verschlüsselung während der Installation
Der einfachste Weg, die vollständige Laufwerkverschlüsselung zu implementieren, besteht darin, die Option während der Installation auszuwählen. Die meisten modernen Linux-Distributionen bieten dies als Option an, daher ist es normalerweise ein trivialer Vorgang.
centos8-install-encrypt.jpg
(Seth Kenlon, CC BY-SA 4.0)
Dies stellt alles her, was Sie brauchen: ein verschlüsseltes Laufwerk, das eine Passphrase erfordert, bevor Ihr System booten kann. Wenn das Laufwerk von Ihrem Computer extrahiert oder von einem anderen Betriebssystem auf Ihrem Computer aufgerufen wird, muss das Laufwerk von LUKS entschlüsselt werden, bevor es gemountet werden kann.
Externe Laufwerke verschlüsseln
Es ist nicht üblich, eine interne Festplatte vom Computer zu trennen, aber externe Laufwerke sind für Reisen konzipiert. Da die Technologie immer kleiner wird, ist es einfacher, ein tragbares Laufwerk an Ihrem Schlüsselbund anzubringen und es jeden Tag bei sich zu tragen. Die offensichtliche Gefahr besteht jedoch darin, dass diese auch ziemlich leicht verlegt werden können. Ich habe verlassene Laufwerke in den USB-Anschlüssen von Computern in der Hotellobby, von Druckern in Geschäftszentren, Klassenzimmern und sogar einem Waschsalon gefunden. Die meisten davon enthielten keine persönlichen Informationen, aber es ist ein leichter Fehler zu begehen.
Sie können das Verlegen wichtiger Daten verhindern, indem Sie Ihre externen Laufwerke verschlüsseln.
LUKS und sein Frontend cryptsetup bieten eine Möglichkeit, dies unter Linux zu tun. Wie bei Linux während der Installation können Sie das gesamte Laufwerk verschlüsseln, sodass zum Einhängen eine Passphrase erforderlich ist.
So verschlüsseln Sie ein externes Laufwerk mit LUKS
Zuerst benötigen Sie ein leeres externes Laufwerk (oder ein Laufwerk mit Inhalten, die Sie löschen möchten). Dieser Vorgang überschreibt alle Daten auf einem Laufwerk. Wenn Sie also Daten haben, die Sie auf dem Laufwerk behalten möchten, zuerst sichern.
1. Finden Sie Ihr Laufwerk
Ich habe einen kleinen USB-Stick verwendet. Um Sie vor versehentlichem Löschen von Daten zu schützen, befindet sich das in diesem Artikel genannte Laufwerk an der imaginären Position /dev/sdX. Hängen Sie Ihr Laufwerk an und finden Sie seinen Speicherort:
$ lsblk
sda 8:0 0 111.8G 0 disk
sda1 8:1 0 111.8G 0 part /
sdb 8:112 1 57.6G 0 disk
sdb1 8:113 1 57.6G 0 part /mydrive
sdX 8:128 1 1.8G 0 disk
sdX1 8:129 1 1.8G 0 part
Ich weiß, dass sich mein Demolaufwerk unter befindet /dev/sdX weil ich seine Größe (1,8 GB) erkenne und es auch das letzte Laufwerk ist, das ich angeschlossen habe (mit sda der Erste sein, sdb der Zweite, sdc der dritte usw.). Der /dev/sdX1 Bezeichner bedeutet, dass das Laufwerk 1 Partition hat.
Wenn Sie sich nicht sicher sind, entfernen Sie Ihr Laufwerk und sehen Sie sich die Ausgabe von . an lsblk, und schließen Sie dann Ihr Laufwerk an und sehen Sie sich an lsblk wieder.
Stellen Sie sicher, dass Sie das richtige Laufwerk identifizieren, da es beim Verschlüsseln überschrieben wird alles drauf. Mein Laufwerk ist nicht leer, enthält jedoch Kopien von Dokumenten, von denen ich Kopien an anderer Stelle habe, daher ist der Verlust dieser Daten für mich nicht von Bedeutung.
2. Löschen Sie das Laufwerk
Um fortzufahren, zerstören Sie die Partitionstabelle des Laufwerks, indem Sie den Kopf des Laufwerks mit Nullen überschreiben:
$ sudo dd if=/dev/zero of=/dev/sdX count=4096Dieser Schritt ist nicht unbedingt notwendig, aber ich beginne gerne mit einer sauberen Schiefertafel.
3. Formatieren Sie Ihr Laufwerk für LUKS
Der cryptsetup command ist ein Frontend zum Verwalten von LUKS-Volumes. Der luksFormat Unterbefehl erstellt eine Art LUKS-Tresor, der passwortgeschützt ist und ein gesichertes Dateisystem beherbergen kann.
Wenn Sie eine LUKS-Partition erstellen, werden Sie vor dem Überschreiben von Daten gewarnt und dann aufgefordert, eine Passphrase für Ihr Laufwerk zu erstellen:
$ sudo cryptsetup luksFormat /dev/sdX
WARNING!
========
This will overwrite data on /dev/sdX irrevocably.
Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:
4. Öffnen Sie das LUKS-Volume
Jetzt haben Sie einen vollständig verschlüsselten Tresor auf Ihrem Laufwerk. Neugierige Blicke, einschließlich Ihrer eigenen, werden von dieser LUKS-Trennwand ferngehalten. Um es zu verwenden, müssen Sie es mit Ihrer Passphrase öffnen. Öffne den LUKS Tresor mit cryptsetup open zusammen mit dem Gerätestandort (/dev/sdX, in meinem Beispiel) und einen beliebigen Namen für Ihren geöffneten Tresor:
$ cryptsetup open /dev/sdX vaultdriveich benutze vaultdrive in diesem Beispiel, aber Sie können Ihrem Tresor einen beliebigen Namen geben und ihm jedes Mal einen anderen Namen geben, wenn Sie ihn öffnen.
LUKS-Volumes werden an einem speziellen Gerätespeicherort namens . geöffnet /dev/mapper. Sie können die Dateien dort auflisten, um zu überprüfen, ob Ihr Tresor hinzugefügt wurde:
$ ls /dev/mapper
control vaultdrive
Sie können ein LUKS-Volume jederzeit über die close Unterbefehl:
$ cryptsetup close vaultdriveDies entfernt die Lautstärke von /dev/mapper.
5. Erstellen Sie ein Dateisystem
Nachdem Sie Ihr LUKS-Volume entschlüsselt und geöffnet haben, müssen Sie dort ein Dateisystem erstellen, um Daten darin zu speichern. In meinem Beispiel verwende ich XFS, aber Sie können ext4 oder JFS oder jedes beliebige Dateisystem verwenden:
$ sudo mkfs.xfs -f -L myvault /dev/mapper/vaultdriveEin LUKS-Volume ein- und aushängen
Sie können ein LUKS-Volume von einem Terminal aus mounten mit dem mount Befehl. Angenommen, Sie haben ein Verzeichnis namens /mnt/hd und möchten Ihr LUKS-Volume dort mounten:
$ sudo cryptsetup open /dev/sdX vaultdrive
$ sudo mount /dev/mapper/vaultdrive /mnt/hd
LUKS lässt sich auch in gängige Linux-Desktops integrieren. Wenn ich beispielsweise ein verschlüsseltes Laufwerk an meine Workstation mit KDE oder meinen Laptop mit GNOME anschließe, fordert mich mein Dateimanager auf, eine Passphrase einzugeben, bevor er das Laufwerk einhängt.
luks-mount-gui.png
(Seth Kenlon, CC BY-SA 4.0)
Verschlüsselung ist Schutz
Linux macht die Verschlüsselung einfacher denn je. Es ist so einfach, dass es fast nicht wahrnehmbar ist. Wenn Sie das nächste Mal ein externes Laufwerk für Linux formatieren, sollten Sie zuerst LUKS verwenden. Es lässt sich nahtlos in Ihren Linux-Desktop integrieren und schützt Ihre wichtigen Daten vor versehentlicher Offenlegung.