Festplattenverschlüsselung mit Linux Bordmitteln

Festplattenverschlüsselung mit Linux Bordmitteln

Daten auf Notebooks oder anderen mobilen Geräten sind auf Grund der Nutzungsweise besonders gefährdet. Auf ziemlich alle unverschlüsselten Datenträger kann auf die verschiedensten Wege zugegriffen werden, sobald diese in falsche Hände gelangen. Aus diesem Grund bieten alle modernen Betriebssysteme die Möglichkeit, Datenträger ganz oder teilweise zu verschlüsseln.
Moderne SSD bieten diese Option übrigens oft schon in der Hardware integriert. Die aktuellen Verschlüsselungsverfahren halten im Moment allen Versuchen der Entschlüsselung stand, wer also sein Passwort vergessen hat dem bleibt selbst der Zugriff auf seine eigenen Daten verwehrt. Aber für den Fall, und viele andere auch, haben wir ja zum Glück alle eine Datensicherung.

Ich werde hier die Verschlüsselung an Hand der aktuellen Debian Version 8.3 (Jessie) zeigen.
Der Startbildschirm des Debian Installers in gewohnt spartanischem Anblick:
Debian-Install_1
Nach ein paar Fragen zur Sprache und den Benutzern startet das Partitionierungsmenü. Ich wähle hier normalerweise die manuelle Einrichtung:
Debian-Install_2s
Die leere Festplatte wird ausgewählt.
Was wir brauchen ist eine kleine Partition, in welcher der Kernel und die Dateien des Bootmanagers liegen, also der Bereich welcher später unter „/boot“ gemounted ist. Weiter noch eine Partition in der das System, der swap Space und die Daten in einer LVM Volume-Group, aufgeteilt in einzelne Logischen Volumes, untergebracht sind. Diese ist dann komplett verschlüsselt.
Debian-Install_3s
Die /boot Partition ist 100 MB groß und mit dem ext2 Dateisystem formatiert:
Debian-Install_4
Der Rest der Festplatte als Volume für Verschlüsselung:
Debian-Install_9
Dann den verschlüsselten Datenträger erzeugen:
Debian-Install_10
Die danach einzugebende Verschlüsselungspassphrase wirklich gut merken! Anschliessend wird das LVM eingerichtet:
Debian-Install_11
Eine Volume-Gruppe „debian“ wird erstellt, darin drei Logische Volume „root“, „swap“ und „home“. Diese werden dann entsprechend eingebunden. Die Aufteilung ist natürlich nur ein Beispiel und kann an die eigenen Bedürfnisse angepasst werden:
Debian-Install_12
Debian-Install_13Debian-Install_14
Ab diesem Punkt kann das System ganz normal weiter installiert werden.
Beim Start des Debian Linux kommt in Zukunft, kurz nachdem der Bootmanager den Kernel geladen hat, eine Passwortabfrage. Damit wird dem System der Zugriff auf die verschlüsselte Partition ermöglicht. Diese bleibt bis zum nächsten Herunterfahren oder Neustart des Betriebssystems entsperrt.
Der Aufwand für die Einrichtung und Nutzung eines verschlüsselten Dateisystems unter Linux ist, wie unter den meisten anderen Betriebssystemen auch, nicht groß, kann aber in vielen Fällen verhindern, das Daten in die falschen Hände kommen.
Jörg Leuschner

Schreibe einen Kommentar