1. Benötigte Software 2. Container erstellen 3. Container öffnen / schließen 4. Container öffnen beim Login 5. Passwörter verwalten 6. System komplett verschlüsseln 7. swap und /tmp verschlüsseln

Container erstellen (einfach)

Mit dem Tool "gnome-disks" aus dem Paket "gnome-disk-utility" ist es möglich, eine Partition oder USB-Stick mit wenigen Klicks zu verschlüsseln. Die Partition bzw. der USB-Sticks ist neu zu formatieren, man wählt den Typ "Verschlüsselt, kompatibel mit Linux-Systemen" und gibt eine Passphrase an. Keyfiles können bei dieser einfachen Variante nicht genutzt werden.
Partition verschlüsseln

Container erstellen (für Genießer)

Im folgenden werden die einzelnen Schritte für die Erstellung des Containers anhand einer verschlüsselten Imagedatei erläutert.

Soll eine Partition (Festplatte oder USB-Stick) verschlüsselt werden, entfallen die Schritte 1 und 8. Das als Beispiel genutzte Device "/dev/loop5" ist durch die Partition zu ersetzen, beispielsweise "/dev/hda5" oder "/dev/sdb1".
  1. Zuerst ist eine leere Imagedatei zu erstellen. Im Beispiel wird es unter dem Dateinamen "geheim.luks" im aktuellen Verzeichnis erstellt. Der Parameter "count" legt die Größe in MByte fest. Anschließend ist das Image als Loop-Device einzubinden. Das Kommando losetup -f ermittelt das nächste freie Loop-Device (Ergebnis: loop5). Wer weiß, dass loop0 frei ist, kann es weglassen # dd if=/dev/zero of=geheim.luks bs=1M count=100
    # losetup -f
    /dev/loop5
    # losetup /dev/loop5 geheim.luks
  2. Die ersten 2 MByte sind mit Zufallswerten zu füllen. Das Füllen der gesamten Datei würde sehr lange dauern und ist nicht nötig: # dd if=/dev/urandom of=/dev/loop5 bs=1M count=2
  3. Anschließend erfolgt die LUKS-Formatierung mit der Festlegung der Verschlüsselung. Die Option -y veranlaßt eine doppelte Abfrage des Passwortes: # cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 -y /dev/loop5
  4. Das formatierte Device wird dem Device-Mapper unterstellt. Dabei wird das zuvor eingegebene Passwort abgefragt. Der <name> kann frei gewählt werden. Unter /dev/mapper/<name> wird später auf den verschlüsselten Container zugegriffen: # cryptsetup luksOpen /dev/loop5 <name>
  5. Wer paranoid ist, kann das verschlüsselte Volume mit Zufallszahlen füllen. Der Vorgang kann in Abhängigkeit von der Größe der Containerdatei sehr lange dauern: # dd if=/dev/urandom of=/dev/mapper/<name>
  6. Ein Dateisystem wird auf dem Volume angelegt: # mkfs.ext3 /dev/mapper/<name>
  7. Das Volume ist nun vorbereitet und wird wieder geschlossen: # cryptsetup luksClose <name>
  8. Die Containerdatei wird ausgehängt: # losetup -d /dev/loop5
Lizenz: Public Domain