Verzeichnisse verschlüsseln

[subson]

Hallo,

ich möchte gerne auf der USB Festplatte Verzeichnisse verschlüsseln.

Nach meiner Vorstellung müsste das so sein, das ich dann im Bedarfsfall auf die Verzeichnisse zu greifen kann, Passwort eingeben und es ist für die Dauer offen. Die USB HD ist ja nicht immer an.

Geht das

[ThorstenS]

Mit TrueCrypt kannst du sowas für WIndows und Linux umsetzen.

[rolo]

wenn du das nur mit einzelnen verzeichnissen machen willst, könntest du sie auch archivieren und mit gnupg verschlüsseln.

[subson]

Ich werde mir beide mal anschauen und austesten, muß nur erst mal überlegen wie ich mir Platz schaffe für eine Testpartition.

[minimike]

evtl wäre auch ecryptfs von IBM eine Lösung. Treiber ist meine ich ab Kernel 2.6.20 mit dabei. Allerdings keine Tools in Etch mit drinnen

[subson]

Also mit gpg und einem archiv fällt ja flach, weil es sehr "unbequem" ist, auf Daten in einem archiv zuzugreifen.

Bei TrueCrypt muß ja, wenn ich das richtig recherchiert habe, während dem booten das Passwort eingegeben werden. Das ist umständlich, und ja unsicher. Da ist ja alles offen, wärend der gesammten Sitzung, oder man muß ständig neu booten

Ich suche einfach eine Möglichkeit wo ich, ganz nach Bedarf auf meine verschlüsselten Photos, mp3's, Textdokumente, Tabellen usw. mit den entsprechenden Programmen zugreifen kann. Sie sollen bei nicht benutzen sicher sein. Also, vereinfacht: mp3 mit amarok aufrufen, PW eingeben und abspielen. Open Office starten, Textdokument öffnen, PW, bearbeiten, aktualliesieren, speicher. Ist das so möglich?

[stockfisch]

ich denke mal, dass das so wie du es willst nicht möglich ist .. mit truecrypt muss man allerdings nicht die ganze platte beim booten entschlüsseln, dass sollte auch später gehen .. und ein aushängen - und damit sichern der daten - ist auch jederzeit (jedenfalls wenn keiner darauf zugreift) möglich ..

[subson]

Ich habe mich jetzt nochmal damit beschäftigt, und etwas gelesen.

Nun schwanke ich zwischen dmkrypt und truecrypt mit der gui.

Ich bin mir noch nicht sicher was der bessere Weg ist.

Muß mir mal die Zeit nehmen und Platz machen für die Tests.

[Cornald]

Moin, also ich habe meine externe Platte mit luks & cryptsetup verschlüsselt (ebenso mein home + swap, root folgt).
Das funktioniert für meinen Bedarf wunderbar.
Keyfile wird auf einem Stick hinterlegt, der (ebenfalls mit luks verschlüsselt) dann bei Bedarf gemountet wird.

Allerdings ist dies eine reine Linux-Lösung. Wenn Du also Dateien mit Windows austauschen willst klappt das nicht ohne weiteres.

Bei Bedarf kann ich Dir eine kurze Anleitung posten.

mfg

Corn

[kryzir]

Moin, also ich habe meine externe Platte mit luks & cryptsetup verschlüsselt (ebenso mein home + swap, root folgt).
Das funktioniert für meinen Bedarf wunderbar.
Keyfile wird auf einem Stick hinterlegt, der (ebenfalls mit luks verschlüsselt) dann bei Bedarf gemountet wird.

Allerdings ist dies eine reine Linux-Lösung. Wenn Du also Dateien mit Windows austauschen willst klappt das nicht ohne weiteres.

Bei Bedarf kann ich Dir eine kurze Anleitung posten.

mfg

Corn

Ich wäre stark daran interessiert, wäre echt nett, danke.

gruß

[Cornald]

=================================
EDIT: Tja, da bin ich wohl am Ziel vorbeigeschossen... Die Anleitung beschreibt wie man eine ganze Partition verschlüsselt...
Aber vielleicht hilfts ja trotzdem
=================================

Na gut, dann werde ich mal mein Halbwissen teilen

Ich empfehle dringend auch die angegebenen Links und natürlich die manpages zu lesen

Zuerst muss die Festplatte natürlich ohne Verschlüsselung funktionieren, davon gehe ich aber mal aus.
Ebenso von einem Standardkernel mit eingebauter Crypt-Funktion.
Bei einem Custom-Kernel musst Du ggf. noch die entsprechenden Module (AES, sha256 oder was auch immer verwendet werden soll) nachladen.

Achtung:
Es ist nicht möglich Daten auf der Platte zu behalten! Alle Daten auf der Festplatte werden gelöscht!

Zuerst muß mal cryptsetup auf die Platte:

Code: Alles auswählen

su -
apt-get install cryptsetup

Ich habe noch pmount installiert, welches wohl externe, verschlüsselte Datenträger transparent ins System einbinden kann. Ob man es zwingend benötigt weiß ich allerdings nicht.... sicher ist sicher:

Code: Alles auswählen

apt-get install pmount

Paranoide Naturen werden das externe Laufwerk zuerst einmal mit Zufallsdaten füllen um gewissen Angriffen aus dem Weg zu gehen.
Also nehmen wir handliche 10MB grosse Stücke aus /dev/urandom und füllen unsere Platte /dev/sde1. Damit werden alle Daten auf dem Laufwerk überschrieben:

Code: Alles auswählen

dd if=/dev/urandom of=/dev/sde1 bs=10M

Anschliessend die Platte aushängen:

Code: Alles auswählen

umount /dev/sde1

Nun wollen wir die Platte einmal verschlüsseln und formatieren:

Code: Alles auswählen

luksformat -t ext3 /dev/sde1

Die folgende Warnung muß mit "YES" (Case sensitiv) bestätigt werden.
Anschliessend muß man das gewünschte Festplattenkennwort 3 mal bestätigen.

Das wars... Teil 1 abgeschlossen.

[Cornald]

Um die Platte nun einhängen zu können solltest Du folgendes wissen:

Cryptsetup erstellt eine zusätzliche Ebene über welche die Daten verschlüsselt auf dem Datenträger abgelegt werden. D.h. im Betriebssystem siehst Du, nach Benutzung von Cryptsetup und Passwort, die richtigen Daten, auf dem Datenträger liegt aber nur "Datenmüll".

Dazu wird eine zusätzliche "Mountstufe" eingerichtet.

D.h. das verschlüsselte Laufwerk wird von:
[1] /dev/sde1 nach [2] /dev/mapper/sde1 gemountet.
Unter [1] kannst Du nur verschlüsselte Daten abgreifen, unter [2] sind die Daten dann entschlüsselt und können dann normal ins Datensystem eingebunden werden:
[2]/dev/mapper/sd1 -> /media/MeineGeheimenDaten

OK. Let´s rock:

Code: Alles auswählen

cryptsetup luksOpen /dev/sde1 sde1

Bei richtiger Eingabe des Passwortes wird das Device /dev/mapper/sde1 erstellt.
/dev/mapper ist übrigens fest in Cryptsetup hinterlegt (ok, eigentlich LVM, aber das stört uns jetzt mal nicht).

Wenn Du nun nach /dev/mapper wechselst solltest Du Dein Laufwerk sehen:

Code: Alles auswählen

ls /dev/mapper

nun erstell noch einen Mountpoint in Media (wenn noch nicht vorhanden) und mounte die Platte dahin:

Code: Alles auswählen

mkdir /media/ExterneFestplatte
mount /dev/mapper/sde1 /media/ExterneFestplatte

und schon kannst Du auf das Gerät schreiben.

Um die Platte wieder zu schützen:

Code: Alles auswählen

umount /media/ExterneFestplatte
cryptsetup luksClose /dev/mapper/sde1

Immer wenn Du nun die Platte nutzen willst kannst Du diese mit dem Mount-Befehl einbinden.


TIP

Du solltest der Festplatte mittels udev einen Standard Mountpoint geben.
Damit kannst Du auch Scripte ausführen lassen.

[kryzir]

Da sag ich doch mal besten Dank für das teilen deines Wissens werde mich morgen früh in alter Frische mal dranmachen

gruß