Erschienen in EasyLinux 04/2007 » Ausgabe bestellen

Dateien durch Verschlüsselung schützen

Geheim gehalten

Hans-Georg Eßer, Achim Leitner

Daten sicher zu halten, hat zwei Seiten: Schutz vor Verlust und Schutz vor unerlaubtem Zugriff durch Fremde. Der zweiten Bedrohung begegnen Sie, indem Sie Dateien verschlüsseln. Wir zeigen, wie Sie das erreichen -- wahlweise mit Standard-Linux-Tools oder mit dem Windows-kompatiblen TrueCrypt.

Die bisherigen Artikel dieser Titelstrecke hatten den Aspekt der Datensicherung vor Verlust im Blick, etwa durch Ausfallen der Festplatte oder versehentliches Löschen -- hier geht es nun um eine andere Art Sicherheit: den Schutz vor unerwünschten Zugriffen durch fremde Personen. Versuche, Ihre Dateien einfach geschickt an ungewöhnlichen Orten im Dateisystem zu verstecken, sind nur so erfolgreich wie es einem Angreifer an Kreativität und Ausdauer mangelt; den einzig sicheren Schutz erreichen Sie, indem Sie sensible Informationen verschlüsseln.

Geht es nur um einzelne Dateien, die Sie schützen wollen, ist das direkte Verschlüsseln dieser Dateien (z. B. mit gpg oder openssl) ein gangbarer Weg; bei größeren Verzeichnishierarchien mit vielen Dateien ist es aber viel zu umständlich, jede einzelne Datei vor dem Zugriff zu entschlüsseln und danach wieder zu verschlüsseln. Wir stellen Ihnen darum in diesem Artikel eine Möglichkeit vor, wie Sie ein komplettes verschlüsseltes Verzeichnis anlegen, in dem alle Dateien und Unterverzeichnisse automatisch gesichert sind.

Hier gibt es zwei Varianten: Sie können eine komplette Partition für Ihre geheimen Daten reservieren und diese verschlüsseln (müssen dafür aber eventuell neu partitionieren oder eine zweite Platte anschließen) oder eine Krypto-Datei erzeugen, die ein verschlüsseltes Dateisystem enthält: Dann ist keine Neupartitionierung nötig.

Verschlüsselte Partition

Eine komplette Partition zu verschlüsseln, hat hauptsächlich Performance-Vorteile: Lese- und Schreibzugriffe sind geringfügig schneller als beim Einsatz einer Krypto-Datei. Leider bietet Ubuntu kein grafisches Tool, das die Einrichtung einer verschlüsselten Partition erlaubt, weswegen wir hier nur Hinweise zu OpenSuse und Mandriva Linux geben -- Ubuntu-Anwender finden weiter hinten im Artikel eine Beschreibung zur Einrichtung eines verschlüsselten Dateisystems in einer Krypto-Datei.

OpenSuse

Für die Einrichtung einer verschlüsselten Partition gehen wir davon aus, dass bereits eine freie Partition auf einer Ihrer Festplatten zur Verfügung steht und dass Sie den Gerätenamen dieser Partition kennen (z. B. /dev/hda7). Beachten Sie, dass Sie mit der folgenden Anleitung sämtliche Daten löschen, die sich noch auf dieser Partition befinden.

Starten Sie YaST über den Menüpunkt Computer / Systemeinstellungen (YaST) und geben Sie Ihr Root-Passwort ein.

In YaST rufen Sie den Unterpunkt System / Partitionieren auf. Bevor sich das Fenster des Partitionierers öffnet, erscheint noch eine Warnung -- bestätigen Sie diese mit Ja.

YaST zeigt nun die Übersicht der vorhandenen Partitionen an. In unserem Beispiel ist /dev/sdb1 die freie Partition, die nun verschlüsselt wird. Doppelklicken Sie auf die richtige Partition, um das Fenster mit den Einstellungen (Abbildung 1) aufzurufen.

Abb. 1: Nach einem Doppelklick auf eine Partition in YaSTs Partitionierungstool können Sie deren Einstellungen bearbeiten.

Aktivieren Sie die Optionen Formatieren und Dateisystem verschlüsseln, und vergeben Sie einen Mountpoint, z. B. /media/crypt. Das hier genannte Verzeichnis muss es noch nicht geben; YaST legt es selbständig an. Die Vorgabe Ext3 für das Dateisystem können Sie übernehmen. Bestätigen Sie alle Angaben mit OK.

Als letzten Schritt müssen Sie nun noch ein Passwort (das aus mindestens acht Zeichen besteht) auswählen und es zweimal in die Felder im nächsten Dialog (Abbildung 3) eingeben. YaST zeigt anstelle der getippten Buchstaben nur Sternchen an. Bestätigen Sie auch die Passworteingabe mit OK.

Abb. 2: Das Passwort für die Verschlüsselung fragt YaST zweimal ab.

In der Übersicht mit den Partitionen (Abbildung 4) taucht nun am Ende ein neuer Eintrag für die verschlüsselte Partition auf. Dass es sich hier um eine verschlüsselte Partition handelt, erkennen Sie am C in der Statusspalte.

Klicken Sie auf Anwenden, damit YaST die Krypto-Datei einrichtet und den Partitionungsdialog schließt. Vorher erscheint noch ein Warnfenster, das alle Änderungen anzeigt (hier also nur das Anlegen der Krypto-Datei) und nochmals zum Bestätigen über einen Klick auf Anwenden auffordert.

YaST hat nun in der OpenSuse-spezifischen Datei /etc/cryptotab einen neuen Eintrag der Form

/dev/loop0  /dev/sdb1  /media/crypt  ext3  twofish256 acl,user_xattr

angelegt, der beim nächsten Rechnerstart dafür sorgt, dass Sie Ihr Passwort eingeben und damit den Zugriff auf die Partition freischalten können (Abbildung 3). Das eingegebene Passwort sehen Sie nicht, und es erscheinen auch keine Sternchen.

Abb. 3: OpenSuse fragt beim Booten nach dem Passwort, mit dem Sie die Partition verschlüsselt haben.

Die Daten in der Datei cryptotab haben folgende Bedeutung:

/dev/loop0: zu verwendendes Loop"=Device

/dev/sdb1: Partition

/media/crypt: Mountpoint

ext3: Dateisystem

twofish256: Verschlüsselungsalgorithmus

acl,user_xattr: Mount"=Optionen für das Dateisystem

Mandriva Linux

Auch Mandriva Linux bietet im Drakconf-Modul DiskDrake die Möglichkeit, verschlüsselte Partitionen zu erzeugen. Gehen Sie folgendermaßen vor:

Öffnen Sie mit [Alt-F2] ein Schnellstartfenster und geben Sie den Befehl drakconf ein. Er erscheint ein Passwortdialog, in den Sie Ihr Root-Passwort eingeben.

Sie finden das Tool im Abschnitt Einhängepunkte unter dem Eintrag Erstellen, löschen, und verändern der Größe von Festplattenpartitionen. Bestätigen Sie die Warnmeldung mit einem Klick auf Fortfahren und markieren Sie in der grafischen Darstellung der Festplatte die Partition, die Sie verschlüsseln möchten (Abbildung 4). Dabei darf es sich jedoch nicht um die Systempartition unter / handeln, diese kann Mandriva nicht verschlüsseln.

Abb. 4: Mandrivas Tool DiskDrake zeigt die Liste der Partitionen an.

Klicken Sie nun unten im Fenster auf In den Experten-Modus wechseln, damit das Tool Ihnen zusätzliche Funktionen anbietet. In der linken Aktionsliste erscheint die Schaltfläche Optionen. Nach einem Klick darauf öffnet sich ein neues Fenster mit einer Vielzahl von Optionen.

Setzen Sie dort ein Häkchen vor encrypted, um die markierte Partition zu verschlüsseln. Das Tool öffnet dann einen Dialog, in dem Sie ein Passwort und den Verschlüsselungsalgorithmus auswählen müssen (Abbildung 5). Das Passwort benötigen Sie beim Mounten der Partition, um den Inhalt zu entschlüsseln. Als Algorithmus steht AES mit Schlüssellängen von 128 bis 2048 zur Auswahl. Grundsätzlich gilt: je länger, desto besser. Schließen Sie die beiden Zusatzfenster mit Klicks auf OK.

Abb. 5: Unter den zahlreichen Optionen findet sich auch der Punkt "encrypted", über den Sie bei Mandriva die Verschlüsselung aktivieren -- es erscheint dann gleich ein neuer Dialog für Passworteingabe und Auswahl der Verschlüsselungsstärke.

Die übrigen Angaben für die Partition setzen Sie wie bei einer normalen Partition, also vor allem den Einhängepunkt (Mountpoint, hier empfiehlt sich unter Mandriva Linux /mnt/crypt, da es dort kein Verzeichnis /media gibt).

Klicken Sie auch auf Formatieren, um das Dateisystem einzurichten. Danach können Sie mit Maus-Klicks auf Fertig und Ja im Bestätigungsdialog die Einrichtung abschließen. Verlassen Sie DrakConf und starten Sie den Rechner neu.

Beim Neustart gibt Ihnen Mandriva Linux nur wenige Sekunden, um schnell die Taste [J] zu drücken: Tun Sie das, können Sie anschließend das Passwort für die verschlüsselte Partition eingeben (Abbildung 6) und unmittelbar nach der Anmeldung auf die Daten zugreifen.

Abb. 6: Wenn Sie die Meldung "We have discovered Encrypted filesystems ..." sehen, drücken Sie die Taste "J" und geben dann am Prompt das Passwort ein, mit dem Sie die Partition verschlüsselt haben.

Krypto-Datei: Kein Partitionieren

Wenn Sie den Aufwand des Neupartitionierens oder den Einbau einer zweiten Festplatte vermeiden wollen, führt die einfachste Lösung über den Einsatz einer Krypto-Datei: Das ist eine große Datei, die ähnlich wie ein ISO-Image ein vollständiges Dateisystem aufnimmt, also im Inneren Platz für eine Verzeichnishierarchie mit vielen Dateien bietet. Anders als bei einem ISO-Image, ist diese Datei verschlüsselt, so dass erst dann ein Zugriff möglich sein wird, wenn Sie die Krypto-Datei mit dem richtigen Passwort entsperrt haben.

Ein grafisches Konfigurations-Tool für die Einrichtung einer solchen Krypto-Datei bieten (bei den von EasyLinux unterstützten Distributionen) nur OpenSuse und Mandriva Linux -- unter OpenSuse funktioniert der Vorgang ähnlich wie beim Anlegen einer verschlüsselten Partition mit YaST, Mandriva Linux enthält ein spezielles Tool für diese Aufgabe.

Ubuntu-Anwender müssen aber nicht außen vorbleiben: Mit einem Ausflug auf die Konsole können Sie das gleiche Feature nutzen, müssen dafür allerdings eine Reihe von Shell-Befehlen eingeben. Wie das geht, beschreibt der Kasten Krypto-Datei mit Shell-Befehlen erzeugen auf Seite ##. Hier folgen zunächst die Beschreibungen für OpenSuse und Mandriva Linux.

OpenSuse

Starten Sie, wie bei der Einrichtung einer verschlüsselten Partition auf Seite ## beschrieben, zunächst YaST und rufen Sie das Partitionierungs-Tool auf. Keine Sorge: Ihr Festplattenaufteilung bleibt unverändert, die Funktion zum Anlegen der Krypto-Datei steckt nur im Partitionierungsprogramm.

YaST zeigt nun die Übersicht der vorhandenen Partitionen an (Abbildung 7). Klicken Sie im unteren Teil des Fensters auf Kryptodatei und wählen Sie im Drop-down-Menü den (einzigen) Eintrag Verschlüsselte Datei erzeugen aus.

Abb. 7: Um eine Krypto-Datei zu erzeugen, rufen Sie unter OpenSuse in YaST das Partitionierungsmodul auf.

Er erscheint ein neuer Dialog (Abbildung 8), der alle nötigen Informationen abfragt. Ganz oben geben Sie ins Feld Pfadname der Datei einen Pfad für die Krypto-Datei ein, ein Beispiel /var/krypto-datei. Das Verzeichnis /var eignet sich generell für Systemdateien, die veränderlich sind -- in Ihrem Fall sollten Sie aber zunächst prüfen, in welchen Verzeichnissen ausreichend Platz für die Datei ist, falls Sie mit mehreren Linux-Partitionen arbeiten.

Abb. 8: Bei den YaST-Einstellungen zur Krypto-Datei ist vor allem wichtig, das Häkchen vor "Dateisystem verschlüsseln" zu setzen.

Aktivieren Sie dann das Häkchen vor Loop-Datei anlegen und geben Sie im Feld darunter (Größe der Loop-Datei) an, wie groß die Krypto-Datei werden soll -- z. B. 1.5 GB für 1,5 GByte. Die Einheit MByte kürzen Sie mit MB ab und verwenden einen Punkt als Dezimaltrenner (1.5 statt 1,5).

Im Kasten Formatieren setzen Sie ein Häkchen vor Formatieren und übernehmen die Vorgabe Ext3 für das Dateisystem. Das Häkchen vor Dateisystem verschlüsseln muss unbedingt dort bleiben, sonst erzeugt YaST eine unverschlüsselte Image-Datei.

Schließlich geben Sie unter Mountpoint noch ein Verzeichnis an, unter dem Sie später auf die verschlüsselten Dateien zugreifen wollen; hier empfiehlt sich ein Unterodner von /media, etwa /media/crypt. Das hier genannte Verzeichnis muss es noch nicht geben; YaST legt es selbständig an. Bestätigen Sie alle Angaben mit OK.

Als letzten Schritt müssen Sie nun noch ein Passwort (das aus mindestens acht Zeichen besteht) auswählen und es zweimal in die Felder im nächsten Dialog eingeben. YaST zeigt anstelle der getippten Buchstaben nur Sternchen an. Bestätigen Sie auch die Passworteingabe mit OK.

In der Übersicht mit den Partitionen (Abbildung 9) taucht nun am Ende ein neuer Eintrag auf, bei dem unter Gerät die Gerätedatei /dev/loop0 (oder loop1, loop2 etc.) steht, der Typ ist Loop Device. Klicken Sie auf Anwenden, damit YaST die Krypto-Datei einrichtet und den Partitionungsdialog schließt. Vorher erscheint noch ein Warnfenster, das alle Änderungen anzeigt (hier also nur das Anlegen der Krypto-Datei) und nochmals zum Bestätigen über einen Klick auf Anwenden auffordert.

Abb. 9: Erfolgreiche Operation: YaST zeigt in der Partitionsübersicht einen neuen Eintrag für die Krypto-Datei an.

Mandriva Linux: Drakloop

Unter Mandriva Linux verwenden Sie das Tool Drakloop. Dieses pfiffige Programm verdient das Prädikat "besonders praktisch", denn es kommt ohne Root-Rechte aus und richtet Ihnen in Ihrem Home-Verzeichnis einen verschlüsselten Unterordner ein, den Sie bei der grafischen Anmeldung aktivieren und beim Logout wieder deaktivieren -- im Test funktionierte genau letzteres Feature allerdings nicht. Wir zeigen Ihnen am Ende der Einrichtung, wie Sie das verschlüsselte Verzeichnis mit einem Shell-Befehl (de-) aktivieren.

Drakloop ist Teil des mountloop-Pakets, das Sie zunächst von der Mandriva-DVD nachinstallieren müssen:

Rufen Sie über System / Einstellungen / Paketverwaltung / Install, Remove & Update Software die Paketverwaltung auf (Sie müssen dann das Root-Passwort eingeben) und suchen Sie nach loop.

Die Ergebnisliste sollte mountloop-0.15.3-1mdk hervorbringen. Installieren Sie dieses Paket, indem Sie das Häkchen davor setzen und auf Anwenden klicken.

Eventuell kommt noch der Hinweis, dass Mandriva Linux zusätzlich das OpenSSH-Askpass-Programm installieren will. Bestätigen Sie dies ebenfalls.

Das Programm starten Sie über ein Schnellstartfenster ([Alt-F2]), in das Sie drakloop eingeben. Bevor das Drakloop-Fenster erscheint, müssen Sie noch das Root-Passwort eingeben. Um ein verschlüsseltes Dateisystem zu erzeugen, klicken Sie auf das große Plus-Symbol in der Werkzeugleiste (Hinzufügen) und geben folgende Daten an (Abbildung 10):

das verschlüsselte Verzeichnis, z. B. crypt,

die Größe in MByte,

die Verschlüsselungstechnik: Der Defaultwert aes128 gilt als ausreichend sicher, die Varianten aes192 und aes256 sind noch sicherer aber auch langsamer,

und zweimal das Passwort.

Das Feld Beim Systemstart ist eigentlich falsch benannt: Es bezieht sich auf den Login. Ist hier Ja gewählt, bindet Drakloop bei jedem Anmelden das verschlüsselte Verzeichnis ein.

Abb. 10: Drakloop verlangt nur ein paar Eingaben und legt dann einen verschlüsselten Verzeichnisbaum an.

Das Drakloop-Übersichtsfenster zeigt nun einen Eintrag für das neue verschlüsselte Verzeichnis. Wenn Sie sich ausloggen, wird die Verzeichnis-Einbindung gelöst, und niemand kommt an die geschützten Daten heran. Prinzipiell aktivieren Sie das Verzeichnis über Drakloop, indem Sie im Hauptfenster des Programms den gewünschten Eintrag auswählen und auf Einhängen klicken -- das funktionierte aber im Test nicht.

So aktivieren Sie das geschützte Verzeichnis manuell: Öffnen Sie mit [Alt-F2] und Eingabe von konsole ein Terminalfenster und geben Sie den Befehl

cat .mountlooprc

ein. Sie sehen dann eine Zeile, welche die Konfigurationsdaten zu Ihrem verschlüsselten Verzeichnis enthält -- wenn Sie den Verzeichnisnamen crypt aus der obigen Beschreibung verwendet haben, sieht diese folgendermaßen aus:

aes128 crypt/encfile crypt yes

Von dieser Zeile benötigen Sie alle Teile bis auf das letzte Wort yes, und Sie setzen diese als Parameter hinter das Programm mountloop:

$ mountloop aes128 crypt/encfile crypt
# /sbin/modprobe aes
# /sbin/modprobe cryptoloop
# chown 500 /dev/loop1
# /bin/mount -o loop=/dev/loop1,encrypted,encryption=aes128 crypt/encfile crypt
Passwort: PASSWORT

Der Befehl zum Unmounten lautet umountloop, und er erhält nur den Verzeichnisnamen:

$ umountloop ~/crypt
# /bin/umount /home/tommy/crypt

Alternative TrueCrypt

Die bisher beschriebenen Linux-Lösungen haben einen entscheidenden Nachteil: Auf die so gesicherten Daten können Sie nur unter Linux zugreifen, und Sie sollten diese auch (unverschlüsselt) sichern, bevor Sie eine neuere Linux-Version installieren, weil ein viel neuerer Kernel möglicherweise die mit dem alten Kernel verschlüsselten Daten nicht mehr erkennt.

Mit TrueCrypt [1] steht eine Alternative zur Verfügung, die ebenfalls ganze Partitionen verschlüsselt oder mit Krypto-Dateien arbeitet -- im Inneren legt die Software aber ein FAT-Dateisystem an, und darauf kann dann neben Linux auch Windows zugreifen, denn das Verschlüsselungsprogramm gibt es für beide Betriebssysteme, und die Formate sind zueinander kompatibel. Auf einmal eingerichtete verschlüsselte Bereiche (entweder eine ganze Partition oder eine Krypto-Datei auf einem Datenträger, den Sie unter Windows und Linux erreichen können) greifen Sie dann mit demselben Schlüssel zu.

Abb. 11: TrueCrypt bringt unter Windows ein komfortables Installationsprogramm mit -- die Linux-Version müssen Sie in der Shell einrichten.

Leider ist die TrueCrypt-Einrichtung nur unter Windows komfortabel -- die unter Linux nötigen Schritte sprengen für EasyLinux ein wenig den Rahmen: Hier ist es meist nötig, die Quelltexte mit einem Compiler zu übersetzen. Wenn Sie sich dafür interessieren und bereits Erfahrung im Umgang mit dem C-Compiler haben, finden Sie einen Installations-Workshop [2] aus dem LinuxUser auf unserer Heft-DVD im Verzeichnis programme/andere/truecrypt/installationsanleitung/.

Fazit

Die Verschlüsselung ganzer Dateisysteme ist -- zumindest unter OpenSuse und Mandriva Linux -- schnell mit den grafischen Tools der Distributionen eingerichet, Ubuntu-Anwender kommen auf der Konsole aber auch in kurzer Zeit zum Ziel. Bevor Sie den so erstellten Datenbereichen wichtiges Material anvertrauen, sollten Sie das korrekte Funktionieren ausgiebig testen: Hier ist mindestens ein Rechnerneustart nötig, der Ihnen zeigt, ob der Zugriff auch nach dem Reboot funktioniert. (hge)

Setup mit Shell-Befehlen

Für die manuelle Einrichtung in der Shell sind drei Schritte notwendig, die wir hier zunächst skizzieren:

Zunächst erzeugen Sie eine Datei, die später Ihre verschlüsselten Dateien aufnimmt. Wählen Sie diese ausreichend groß für den Zweck: Wenn Sie eine große Platte besitzen, schadet es nicht, einige GByte zu reservieren. Sie werden dafür das Tool dd verwenden.

Die neue Datei wird beim System als verschlüsseltes Loop-Device angemeldet. Das ist eine ähnliche Methode, wie Sie diese vielleicht vom Mounten eines CD-ISO-Images kennen: Sie gaukeln Linux damit vor, dass die Datei eine physikalische Plattenpartition wäre. Die Verschlüsselungsebene kommt transparent hinzu; sobald Sie das Loop-Device eingerichtet haben, finden beim Zugriff auf dieses Gerät automatisch eine Verschlüsselung (beim Schreiben) und eine Entschlüsselung (beim Lesen) statt. Das Kommando losetup (loop device setup) richtet Loop-Devices ein.

Das Loop-Device können Sie wie eine normale Partition behandeln, der letzte Schritt besteht also aus dem Formatieren und Mounten, damit Sie auf den neuen Datenträger zugreifen und Ihre vertraulichen Daten dort ablegen können. Hier benutzen Sie die Standardkommandos mkfs.ext3 und mount. Um das Einbinden beim Systemstart zu automatisieren, bearbeiten Sie schließlich noch die Datei /etc/fstab, die Informationen über alle standardmäßig zu aktivierenden Dateisysteme enthält. (OpenSuse-Anwender erzeugen stattdessen einen Eintrag in der dort speziell für verschlüsselte Datenträger vorgesehenen Datei /etc/cryptotab.)

Nun im Detail: Für alle folgenden Schritte benötigen Sie eine Shell mit Root-Rechten. Öffnen Sie daher zunächst mit [Alt-F2] und Eingabe von konsole ein KDE-Terminalfenster. Unter Ubuntu geben Sie dann den Befehl sudo su ein und beantworten die Passwortabfrage mit Ihrem Benutzerpasswort; Anwender von Mandriva Linux oder OpenSuse verwenden stattdessen den Befehl su, auf dessen Passwortanforderung Sie das Root-Passwort eingeben. Jetzt haben Sie vollen Zugriff auf das System und können die folgenden Schritte nachvollziehen.

Erzeugen Sie zunächst mit dem Befehl mkdir /var/crypt ein neues Unterverzeichnis und wechseln Sie mit cd /var/crypt in dieses Verzeichnis hinein.

Erzeugen Sie zunächst die Datei, welche die verschlüsselten Daten aufnehmen soll. Für eine 1 GByte große Datei erledigt das der Befehl

dd if=/dev/zero of=crypto bs=1G count=1

bs=1G

bs=256M

Nun melden Sie die Datei als verschlüsselte Loop-Device-Datei an. Das geht mit folgenden Befehlen:

modprobe cryptoloop
losetup -e blowfish /dev/loop0 crypto

Mit dem ersten Befehl laden Sie ein Kernel-Modul nach, das Sie für den folgenden Schritt benötigen. Das zweite Kommando fragt zweimal ein Passwort ab. Wählen Sie dieses Passwort so, dass es schwer zu erraten ist, Sie es sich aber leicht merken können: Sollten Sie das Passwort später vergessen, ist kein Zugriff mehr auf die Daten möglich, die Sie in dem verschlüsselten Bereich abgelegt haben.

Ab sofort können Sie das neue Loop-Device über den Namen /dev/loop0 ansprechen -- exakt so, wie Sie etwa eine erste Partition auf der ersten IDE-Platte über /dev/hda1 erreichen. Formatieren Sie das Loop-Device mit dem Befehl

mkfs.ext3 /dev/loop0

Damit legen Sie ein Ext3-Dateisystem an -- das ist das gleiche Format, das auch Ihre Linux-Partitionen besitzen.

Schließlich bleibt noch das Mounten: Erzeugen Sie zunächst mit mkdir /media/crypt ein neues Unterverzeichnis im /media-Ordner: Es dient dann als Mountpoint, über den Sie Zugriff auf die Dateien haben. Dann mounten Sie das Dateisystem mit

mount /dev/loop0 /media/crypt/

Jetzt ist das Dateisystem eingebunden, und Sie können es bereits benutzen.

Zum Sperren des Zugriffs sind die Befehle

umount /media/crypt; losetup -d /dev/loop0

ausreichend. Der nächste Mount-Vorgang wird übersichtlicher: Um die Krypto-Datei erneut einzubinden, geben Sie den etwas länglichen Befehl

mount -o loop,encryption=blowfish /var/crypt/crypto /media/crypt/

ein -- danach erfragt mount Ihr Passwort. Zum Unmounten (und Deaktivieren der Entschlüsselung) reicht dann umount /mnt/crypt aus. Da es umständlich ist, sich diese Parameter zu merken, verwenden Sie eine Konfigurationsdatei.

Ubuntu-Anwender legen einen neuen Eintrag in /etc/fstab an, der für obiges Beispiel folgenden Aufbau hätte:

/var/crypt/crypto /mnt/crypt ext3 encryption=blowfish,acl,user_xattr

Wollen Sie die Krypto-Datei nicht direkt beim Booten einbinden, ergänzen Sie am Ende (ohne Leerzeichen) noch ,user,noauto -- das verhindert das automatische Mounten und erlaubt auch "normalen" Anwendern, das Dateisystem einzubinden.

OpenSuse legt Informationen über Krypto-Dateien in einer eigenen Tabelle (/etc/cryptotab) ab (siehe Einrichtung mit YaST), der passende Eintrag sieht wie folgt aus:

/dev/loop0 /var/crypt/crypto /mnt/crypt ext3 blowfish acl,user_xattr

Wenn Sie noch kein verschlüsseltes Dateisystem angelegt haben, existiert diese Datei noch nicht. (Ein zusätzlicher Eintrag in /etc/fstab ist nicht notwendig.) Den Aufbau dieser Zeile haben wir bereits bei der Einrichtung mit YaST erklärt.

Infos

[1] Truecrypt: http://www.truecrypt.org
[2] TrueCrypt-Artikel: Thomas Leichtenstern, "Innere Werte", LinuxUser 12/2006, S. 65 ff., http://www.linux-user.de/ausgabe/2006/12/065-truecrypt/index.html (auch auf der Heft-DVD)

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

[Linux-Magazin] [LinuxUser] [Linux-Community] [Admin-Magazin] [Ubuntu User] [Smart Developer] [Linux Events] [Linux Magazine] [Ubuntu User] [Admin Magazine] [Smart Developer] [Linux Magazine Poland] [Linux Community Poland] [Linux Magazine Brasil] [Linux Magazine Spain] [Linux Technical Review]