Howto Version: v0.1.1
Verschlüsseltes Dateisystem mit dm-cryptAchtung: Ich übernehme keine Haftung für evtl. entstandene Schäden (zb Datenverlust), bei Benutzung dieses Howto's!
In meinem vorigen Howto über Loop-AES habe ich gezeigt, wie man eine Partition oder Container verschlüsseln kann. Loop-AES eignet sich sowohl für die Kernelzweige 2.4 und 2.6. dm-crypt ist ab der Version 2.6.4 im Kernel enthalten. Jeder User soll aber selbst entscheiden können, welche Art von Verschlüsselung man nutzen möchte.
Falls die Entscheidung auf dm-crypt fällt soll auch jeder in der Lage sein, jenes anwenden zu können, daher möchte ich hier zeigen, wie dm-crypt installiert, konfiguriert und angewendet werden kann.
dm-crypt ist der Nachfolger von Cryptoloop, welches Anwendung im Kernel 2.4 fand. Cryptoloop hatte einige schwächen und sollte nicht mehr eingesetzt werden. Siehe dazu folgenden Link. (Thx an Dellerium)
dm-crypt verschlüsselt Partitionen auf Blockdevice Ebene und gibt den Klartextinhalt über ein virtuelles Blockdevice frei. Dieses Device kann wie ein herkömmliches Blockdevice verwendet werden, um darin ein Dateisystem zu erstellen und zu mounten. cryptsetup ist das Tool, womit dm-crypt arbeitet. Es gibt als Erweiterung das so genannte Management Tool LUKS (Linux Unified Key Setup). LUKS ist in der Lage, aus einem User Passwort einen krypto Key abzuleiten und diesen an den Kernel zu übergeben.
Die Kombination zwischen cryptsetup und LUKS ermöglicht unter anderem, die Schlüssel zu der verschlüsselten Partition in einem Header der Partition selbst unter zu bringen. Es können auch verschiedene Passwörter für eine Verschlüsselung verwendet werden. Es ist auch möglich das Passwort zu ändern, ohne eine neu verschlüsselung des verschlüsselten Objekts!
Es gibt bei der Angabe des Verschlüsselungsalgorithmus die Option -essiv (Encrypted Salt-Sector IV), um einen
Watermark Angriff aus dem Weg zu gehen.
Sehr gute Erklärungen zur Funktionsweise von cryptsetup, LUKS, essiv bietet das Linux-Magazin in der Ausgabe 08/05.
Update: Den Artikel "dm_crypt: Geheime Niederschrift" im Linux-Magazin 08/05 gibt es nun auch online zum lesen: Zum Artikel
1) Einleitung
2) Installation von dm-crypt
3) Erstellung einer verschlüsselten Partition
4) Verschlüsselte Swap Partition
5) Anlegen eines verschlüsselten Containers
6) Scripte für verschlüsselte Container
28.08.2007 Link zum Linux-Magazin hinzugefügt
23.02.2007 kleine Korrektur für die /etc/crypttab. Danke für den Hinweis.
13.03.2006 Scripte für verschlüsselte Container, Howto Version 0.1.1
13.03.2006 Anlegen eines verschlüsselten Containers, Howto Version 0.1.0
12.03.2006 kleinere Anpassungen, v0.0.3
25.02.2006 Fehlerkorrekturen, Ergänzungen, v0.0.2
24.02.2006 Erstellung des Howto's v0.0.1
Todo:
- Erklärungen und Anwendungen zu dmsetup
- Erklärungen und Anwendungen zu hashalot
- Erstellung eines verschlüsselten Containers
- Einbinden von GnuPG
- Weitere Möglichkeiten mit dm-crypt
Fragen zum Thema bitte nur im Forum stellen, ich gebe keinen Support außerhalb des Forums!
Sollte sich irgendwo der Fehlerteufel eingeschlichen haben, dann schickt mir eine PN (Private Nachricht) oder eine E-Mail an holgi [at] linux-technik [dot] de und wer mir lieber mit gnupg schreiben möchte: Mein PGP-Key: Download
Fingerprint:
4DFA 402D 96E1 0F46 5232 68E3 9A3D FDE5 0527 CA77
Zitieren
Lesezeichen