Manchmal ist es ganz hilfreich, Daten per USB-Stick oder SD-Card Mobilität zu verleihen. Viele der etwas modernen Note- und Netbooks haben einen SD-Card-Reader eingebaut, so dass auch diese Karten nebst einem USB-Stick zu einer ernstzunehmenden Alternative heranwachsen. Ausserdem steigt die Speicherkapazität stetig an, im Moment stehen wir bei maximal 16 GB, erwartet werden zurzeit 48, beziehungsweise 64 GB Kapazität für SD-Cards. Im Zuge der Verbreitung von digitalen Fotoapparaten gewinnt dieses Speichermedium vielleicht noch mehr an Bedeutung.
Viele der Daten, die wir per USB-Stick oder eben SD-Card mit uns herumtragen, wären eigentlich schützenswert. Bloss wende ich das in den wenigsten Fällen an, ausser im beruflichen Bereich. Dort muss ich das tun und ausserdem habe ich meinen Namen unter ein Dokument gesetzt, auf dem steht, was passiert, wenn ich es nicht tue. Deswegen bin ich der Meinung, dass ich mich selbst an der Nase packen sollte und auch private Daten eher und regelmässig vor fremden Zugriff schützen sollte. Eine SD-Card oder ein Stick geht ja schnell verloren und kann so in fremde Hände kommen.
Die Verschlüsselung mit cryptsetup und der Erweiterung LUKS halte ich für angebracht. Viele Alternativen dazu gibt es ja eigentlich nicht, wenn man den gesamten Datenträger verschlüsseln will. Diese kurze Anleitung lässt sich auch auf USB-Sticks sowie auf externen Festplatten anwenden. Im Beispiel wird der gesamte Datenträger für eine verschlüsselte Partition benutzt.
Der Datenträger – also eine SD-Card, ein USB-Stick oder eine externe Festplatte – sollte zuvor gelöscht werden, so dass sich keine Daten mehr darauf befinden. Danach notiert man sich am besten den Datenträgernamen, wie es im System eingehängt ist. Das sieht man im Terminal mit dem Befehl sudo blkid
. Das sieht dann etwa so aus:
/dev/sda1: UUID="06f8f99f-4112-4f70-baf5-4efa6a2385cf" TYPE="ext4"
/dev/sda5: UUID="cb8ef88a-9d2f-44c8-ba2b-d1d83557969c" TYPE="ext4"
/dev/mmcblk0p1: SEC_TYPE="msdos" LABEL="HPR707" UUID="3414-7CE5" TYPE="vfat"
In diesem Beispiel ist der Datenträger mmcblk0p1 die SD-Card. Falls eine Unsicherheit besteht, welcher Datenträger der Richtige ist, sollte dieser physisch entfernt und der Befehl erneut eingegeben werden. Dann sieht man sogleich, welche Zeile im Vergleich zur vorherigen Ausgabe fehlt. Auf keinen Fall einfach irgendeine Auswahl treffen! Ausserdem sollte der Datenträger nach dem Löschen der Daten zwar noch physisch am Computer angehängt oder eingesteckt, aber nicht mehr gemountet sein. Bitte aushängen.
Zunächst braucht es das Paket cryptsetup
, das wie folgt installiert werden kann:
sudo apt-get install cryptsetup
Danach kann der Datenträger zum verschlüsselten Teil formatiert werden. Dazu wird der Befehl eingegeben, worauf der Datenträgername genannt wird, der zuvor notiert wurde:
sudo cryptsetup luksFormat /dev/Datenträgername
Die Sicherheitsfrage kann man mit YES beantworten und danach sollte ein möglichst starkes Kennwort für die Verschlüsselung gewählt werden. Es wird zur Bestätigung zweimal verlangt.
Danach muss der Manager zum Öffnen der verschlüsselten Datenträger geöffnet und der entsprechende Datenträger angegeben werden, wobei der letzte Wert (crypt_sdcard) die Partition benennt und auch anders heissen darf. Dabei wird das zuvor eingegebene Kennwort verlangt.
sudo cryptsetup luksOpen /dev/Datenträgername crypt_sdcard
Dann wird ein Dateisystem angelegt. In diesem Fall eine ext3-Partition:
sudo mkfs.ext3 /dev/mapper/crypt_sdcard
Jetzt kann der Datenträger gemountet und die nötigen Rechte verteilt werden:
sudo mount /dev/mapper/crypt_sdcard /mnt
sudo chown 1000:1000 /mnt
Das war es eigentlich schon. Bitte den Datenträger wieder aushängen und den LUKS-Manager wieder schliessen:
sudo umount /dev/mapper/crypt_sdcard
sudo cryptsetup luksClose crypt_sdcard
An diesem Rechner, an dem diese Arbeit verrichtet wurde, kann nun der verschlüsselte Datenträger sogleich benutzt werden. Einfach ein- oder anstecken und das Kennwort angeben. Das ist alles.
Beim Aushängen kann es allerdings zu unschönen Fehlermeldungen kommen. Das hat wahrscheinlich mit LUKS zu tun, da bin ich mir aber nicht sicher.
Ich konnte das Problem so umgehen, dass ich nicht per Rechtsklick “aushängen” befahl, sondern im Terminal einen umount-Befehl per sudo absetzt. Also etwa so:
sudo umount /media/d225aac2-2599-471b-b075-1a0957749faa
Damit erschien keine Fehlermeldung. Es funktioniert aber auch, wenn man nach dem Befehl “aushängen” per Mausklick ein paar Sekunden wartet, bevor der Datenträger physisch abgehängt wird. Der Datenträger lässt sich natürlich auch an andern Rechnern verwenden. Dort muss allerdings das Paket cryptsetup installiert sein, sonst kann der Datenträger nicht entschlüsselt werden. Ist das Paket (noch) nicht vorhanden, wird trotzdem zunächst nach dem Kennwort gefragt, worauf dann diese Fehlermeldung erscheint:
Sobald aber das Paket installiert wurde, klappt alles wunderbar. Damit steht ein sicherer und verschlüsselter Datenträger zur Verfügung. Allerdings ist die Sicherheit nur so stark wie das gewählte Passwort und ebenso schwach, wie die Fähigkeit, das Passwort geheim zu halten. cryptsetup gibt es zwar nicht in der Weise für Windows und Mac, aber Alternativen sind da, die offenbar funktionieren. Und es sollte eigentlich klar sein, dass ein üblicher Fotoapparat oder ein anderes Gerät eine verschlüsselte SD-Card nicht mehr nutzen kann.
Ralf Hersel schrieb in der aktuellen Ausgabe vom FreiesMagazin einen Artikel zur Verschlüsselung eines Verzeichnisses. Der Bericht ist spannend geschrieben und in jedem Fall lesenswert, zumal andere Werkzeuge besprochen werden.
Ähnliche Artikel
- 1. März 2010 -- Schutz vor fremdem Zugriff (0)
- 12. Januar 2010 -- XFS unter Ubuntu nutzen (7)
- 21. Dezember 2009 -- Geheime Botschaften (4)
- 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
- 21. August 2009 -- Thunderbirds Sicherheitslücke bereits geschlossen (3)