Dateiverschlüsselung unter Linux mit dm-crypt
Aus Port23Wiki
Version vom 5. November 2020, 16:29 Uhr von Robin (Diskussion | Beiträge)
Inhaltsverzeichnis |
Links
- http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptedDevice
- Prinzip
- 1. Festplatte prüfen und oder mit Zufallsdaten füllen
- 2. Partition auf Festplatte anlegen
- 3. Mapping herstellen / Passphrase festlegen
- 4. Filesystem anlegen
- 5. Dateisystem mounten
- Prinzip
Beispiel
Um sensible Daten zu verschlüsseln kann man diese in einer Datei in einem unverschlüsselten Dateisystem ablegen. Die Daten kann man mounten und wie ein übliches Dateisystem verwenden.
Einrichten
- Datei anlegen (z. B. 1GB Datei anlegen)
dd if=/dev/urandom of=/var/daten.enc bs=1k count=1000000
- Loop-Device mit Datei verbinden
losetup /dev/loop0 /var/daten.enc
- Setup der Verschlüsselung
cryptsetup luksFormat --verbose --verify-passphrase /dev/loop0
WARNING! ======== This will overwrite data on /dev/loop0 irrevocably.
Are you sure? (Type uppercase yes): YES Enter LUKS passphrase: Verify passphrase: Command successful.
- Device öffnen
cryptsetup luksOpen /dev/loop0 data_enc
Enter LUKS passphrase for /dev/loop0: key slot 0 unlocked. Command successful.
- Status der Verschlüsselung überprüfen
cryptsetup status data_enc
/dev/mapper/data_enc is active: cipher: aes-cbc-essiv:sha256 keysize: 128 bits device: /dev/loop0 offset: 1032 sectors size: 1998968 sectors mode: read/write
- Dateisystem (hier ext3) anlegen
mkfs -t ext3 /dev/mapper/data_enc
mke2fs 1.41.4 (27-Jan-2009) Dateisystem-Label= OS-Typ: Linux Blockgröße=4096 (log=2) Fragmentgröße=4096 (log=2) 62592 Inodes, 249871 Blöcke 12493 Blöcke (5.00%) reserviert für den Superuser Erster Datenblock=0 Maximale Dateisystem-Blöcke=260046848 8 Blockgruppen 32768 Blöcke pro Gruppe, 32768 Fragmente pro Gruppe 7824 Inodes pro Gruppe Superblock-Sicherungskopien gespeichert in den Blöcken: 32768, 98304, 163840, 229376
Schreibe Inode-Tabellen: erledigt Erstelle Journal (4096 Blöcke): erledigt Schreibe Superblöcke und Dateisystem-Accountinginformationen: erledigt
Das Dateisystem wird automatisch nach jeweils 22 Einhäng-Vorgängen bzw. alle 180 Tage überprüft, je nachdem, was zuerst eintritt. Veränderbar mit tune2fs -c oder -t .
- Dateisystem mounten
mount /dev/mapper/data_enc /enc
- Dateisystem benutzen...
- Umounten
umount /enc
- Mapping entfernen, wichtig!
cryptsetup luksClose data_enc
- Optional loop device löschen
losetup -d /dev/loop0
Verwenden
Nach reboot:
losetup /dev/loop0 /var/daten.enc
cryptsetup luksOpen data_enc /dev/loop0
mount /dev/mapper/data_enc /enc
- Dateisystem benutzen...
umount /enc
cryptsetup luksClose data_enc
- loop device löschen
losetup -d /dev/loop0