{"id":663,"date":"2010-10-14T16:22:32","date_gmt":"2010-10-14T14:22:32","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=663"},"modified":"2010-10-14T16:22:32","modified_gmt":"2010-10-14T14:22:32","slug":"festplatten-und-usb-sticks-mit-dm-crypt-und-luks-verschlusseln","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2010\/10\/14\/festplatten-und-usb-sticks-mit-dm-crypt-und-luks-verschlusseln\/","title":{"rendered":"Festplatten und USB-Sticks mit dm-crypt und LUKS verschl\u00fcsseln"},"content":{"rendered":"<p>Seit der Ver\u00f6ffentlichung von Debian Etch nutze ich standardm\u00e4\u00dfig die Festplattenverschl\u00fcsselung mit LVM des Debian-Installationsprogramms. Im folgenden m\u00f6chte ich kurz die wichtigsten Schritte aufz\u00e4hlen, die n\u00f6tig sind um eine einzelne USB-Festplatte oder einen USB-Stick zu verschl\u00fcsseln und \u00fcber dabei gemachte Erfahrungen berichten. Mir hat der umfangreiche Artikel <a title=\"Festplattenverschl\u00fcsselung mit Debian GNU\/Linux\" href=\"http:\/\/www.andreas-janssen.de\/cryptodisk.html\">Festplattenverschl\u00fcsselung mit Debian GNU\/Linux<\/a> sehr geholfen, welchen ich ebenfalls unbedingt empfehle zu lesen.<br \/>\n<!--more--><\/p>\n<h2>Warum Verschl\u00fcsselung?<\/h2>\n<p>USB-Festplatten, USB-Sticks oder Laptops sind nicht nur praktisch sondern bergen leider auch das Risiko leicht verloren zu gehen und sind auch h\u00e4ufiger der Gefahr von Diebstahl ausgesetzt. Oft werden aber gerade auf diesen mobilen Datentr\u00e4gern pers\u00f6nliche Dokumente, Bilder oder Emails mitgef\u00fchrt, die nicht jeder lesen soll. Einen sicheren Schutz gegen solche Szenarien bietet die komplette Verschl\u00fcsselung des Datentr\u00e4gers.<\/p>\n<h2>Vorbereitung<\/h2>\n<p>Bevor es losgeht sollte das Modul dm_crypt im Kernel geladen sein. Wurde die Systemfestplatte schon bei der Installation verschl\u00fcsselt, ist das Modul standardm\u00e4\u00dfig geladen. Bei den mit Debian oder Ubuntu mitgelieferten Kerneln l\u00e4sst es sich mit root Rechten und dem Befehl<\/p>\n<blockquote><p>modprobe dm_crypt<\/p><\/blockquote>\n<p>aktivieren. Im folgenden m\u00fcssen alle Befehle als root Benutzer ausgef\u00fchrt werden (bei Ubuntu sudo voranstellen). Als Beispieldatentr\u00e4ger habe ich \/dev\/sdc gew\u00e4hlt.<br \/>\nBei vorher schon beschriebenen Festplatten empfiehlt es sich, alle vorhandenen Daten vor der Verschl\u00fcsselung nachhaltig zu l\u00f6schen oder die Festplatte mit Zufallswerten zu \u00fcberschreiben. Daf\u00fcr gibt es verschiedene M\u00f6glichkeiten.<\/p>\n<ol>\n<li>dd mit \/dev\/urandom als Quelle<\/li>\n<li>shred<\/li>\n<\/ol>\n<h3>dd und \/dev\/urandom<\/h3>\n<blockquote><p>dd if=\/dev\/urandom of=\/dev\/sdc1 bs=10M conv=trunc<\/p><\/blockquote>\n<p>Mit dem oben angegebenen Befehl wird die komplette Partition \/dev\/sdc1 bitweise mit Zufallswerten \u00fcberschrieben. Diese Methode wird h\u00e4ufig sowohl als M\u00f6glichkeit beschrieben Daten endg\u00fcltig zu l\u00f6schen als auch den Datentr\u00e4ger so vorzubereiten, dass die sp\u00e4tere Verschl\u00fcsselung nicht mehr von den mit dd geschriebenen Zufallswerten zu unterscheiden ist.<br \/>\nW\u00e4hrend letzteres auf den ersten Blick sinnvoll und nachvollziehbar zu sein scheint, stellt sich doch die Frage, ob es sich hier nicht eher um \"Security through Obscurity\" handelt. Denn tats\u00e4chlich kommt es einzig und allein auf die G\u00fcte des Verschl\u00fcsselungsalgorithmus an inwiefern tats\u00e4chliche Sicherheit gegeben ist oder nicht.<br \/>\nBei heutigen Plattengr\u00f6\u00dfen muss man sich allerdings stark in Geduld \u00fcben. Folgendes Ergebnis erhielt ich bei einer 1,5 TB Festplatte.<\/p>\n<blockquote><p>dd: Schreiben von \u201e\/dev\/sdc1\u201c: No space left on device<br \/>\n143077+5 Datens\u00e4tze ein<br \/>\n143076+5 Datens\u00e4tze aus<br \/>\n1500299265024 Bytes (1,5 TB) kopiert, 229675 s, 6,5 MB\/s<\/p><\/blockquote>\n<p>Obwohl die Option bs=10M die Performance deutlich erh\u00f6hen konnte, dauerte es dennoch 229675 Sekunden oder knapp 64 Stunden! die Festplatte vollst\u00e4ndig mit Zufallswerten zu \u00fcberschreiben.<br \/>\nLeider gibt es keine direkte Option f\u00fcr eine Fortschrittsanzeige bei Benutzung von <em>dd<\/em>. Dennoch kann man sich mit dem Befehl<\/p>\n<blockquote><p>kill -USR1 $pid<\/p><\/blockquote>\n<p>eine kleine Statistik anzeigen lassen. Dadurch wird <em>dd<\/em> <span style=\"text-decoration: underline;\">nicht<\/span> abgebrochen. Die Prozess ID ($pid) von <em>dd<\/em> l\u00e4sst sich z.B. mit <em>ps -A|grep dd<\/em> ermitteln. Eine Alternative zu <em>dd<\/em> bietet das Programm <em>dcfldd<\/em>.<\/p>\n<blockquote><p>dcfldd if=\/dev\/urandom of=\/dev\/sdc1 bs=10M statusinterval=10 conv=notrunc<\/p><\/blockquote>\n<p>Im Prinzip ist <em>dcfldd<\/em> eine Erweiterung zu <em>dd<\/em>. Besonders interessant ist hierbei die Option statusinterval, mit welcher der Fortschritt fortlaufend angezeigt wird.<\/p>\n<h2>shred<\/h2>\n<p>Wer hingegen eine weitere sichere M\u00f6glichkeit unter Linux sucht, um seine alten Daten dauerhaft zu l\u00f6schen, kann auch auf das Programm <strong><em>shred<\/em><\/strong> zur\u00fcckgreifen.<\/p>\n<blockquote><p>shred -n2 -z -v \/dev\/sdc<\/p><\/blockquote>\n<p>Dieser Befehl h\u00e4tte den gesamten Datentr\u00e4ger sdc zweimal komplett mit Zufallszahlen \u00fcberschrieben und danach noch einmal komplett mit Nullen. Wie oft sollte man die Daten nun tats\u00e4chlich \u00fcberschreiben? Ein <a title=\"Sicheres L\u00f6schen - Einmal \u00fcberschreiben gen\u00fcgt\" href=\"http:\/\/www.heise.de\/security\/meldung\/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html\">Artikel auf heise.de<\/a> gibt hierauf die Antwort: Einmal komplett alles mit Zufallszahlen zu \u00fcberschreiben gen\u00fcgt schon. Da aber nat\u00fcrlich auch heise.de von b\u00f6sartigen Aliens kontrolliert werden kann, bleibt als einzig sicherer Weg die Daten endg\u00fcltig zu vernichten nur das Einschmelzen der Festplatte selbst.<\/p>\n<h2>Luksformat<\/h2>\n<p>Die eigentliche Verschl\u00fcsselung des Datentr\u00e4gers ist ein Einzeiler. Dazu kommt der Wrapper luksformat zum Einsatz, der die Programme cryptsetup und mkfs ausf\u00fchrt.<\/p>\n<blockquote><p>luksformat -t ext4 \/dev\/sdc1<\/p><\/blockquote>\n<p>Damit wird der Datentr\u00e4ger mit AES-256 verschl\u00fcsselt und ein ext4 Dateisystem angelegt. Hierbei wird man drei Mal aufgefordert das Passwort zum Entsperren einzugeben. Benutzt man Ubuntu wird der verschl\u00fcsselte Datentr\u00e4ger automatisch erkannt und man muss beim Einh\u00e4ngen nur noch dieses Passwort eingeben. Manuell entsperren und in \/media\/backup mounten, l\u00e4sst sich die Festplatte mit<\/p>\n<blockquote><p>cryptsetup luksOpen \/dev\/sdc1 sdc1_crypt<br \/>\nmount \/dev\/mapper\/sdc1_crypt \/media\/backup<\/p><\/blockquote>\n<p>Zum Sperren des Datentr\u00e4gers geht man in umgekehrter Reihenfolge vor.<\/p>\n<blockquote><p>umount \/media\/backup<br \/>\ncryptsetup luksClose \/dev\/mapper\/sdc1_crypt<\/p><\/blockquote>\n<h2>N\u00fctzliches<\/h2>\n<p>Der reservierte Speicher auf der Festplatte ist mit 5% bei reinen Backupl\u00f6sungen standardm\u00e4\u00dfig zu gro\u00dfz\u00fcgig gew\u00e4hlt. Mit<\/p>\n<blockquote><p>tune2fs -m 1 \/dev\/mapper\/sdc1_crypt<\/p><\/blockquote>\n<p>l\u00e4sst sich der reservierte Speicher auf 1 % verkleinern.<br \/>\nDamit die Festplatte anstelle einer kryptischen UUID auch einen leicht wiedererkennbaren Namen beim Mounten erh\u00e4lt, kann man mit folgendem Befehl den Namen z.B. auf backup \u00e4ndern.<\/p>\n<blockquote><p>tune2fs -L backup \/dev\/mapper\/sdc1_crypt<\/p><\/blockquote>\n<p>Das waren schon die wichtigsten Schritte um eine Festplatte zu verschl\u00fcsseln. Wie eingangs schon geschrieben, empfehle ich f\u00fcr weitere Ideen zu diesem Thema <a title=\"Verschl\u00fcsseln mit Debian\/GNU Linux\" href=\"http:\/\/www.andreas-janssen.de\/cryptodisk.html\">diesen Artikel<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Seit der Ver\u00f6ffentlichung von Debian Etch nutze ich standardm\u00e4\u00dfig die Festplattenverschl\u00fcsselung mit LVM des Debian-Installationsprogramms. Im folgenden m\u00f6chte ich kurz die wichtigsten Schritte aufz\u00e4hlen, die n\u00f6tig sind um eine einzelne USB-Festplatte oder einen USB-Stick zu verschl\u00fcsseln und \u00fcber dabei gemachte Erfahrungen berichten. Mir hat der umfangreiche Artikel Festplattenverschl\u00fcsselung mit Debian GNU\/Linux sehr geholfen, welchen ich &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/gambaru.de\/blog\/2010\/10\/14\/festplatten-und-usb-sticks-mit-dm-crypt-und-luks-verschlusseln\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eFestplatten und USB-Sticks mit dm-crypt und LUKS verschl\u00fcsseln\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[53,115,178,202],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/663"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=663"}],"version-history":[{"count":0,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/663\/revisions"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=663"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=663"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}