Erstellen eines verschlüsselten Dateisystems
Hier will ich kurz beschreiben wie ich ein verschlüsseltes Dateisystem erstellt habe:
Anmerkung:
Ab Kernel 2.6.11-kanotix-9 ist das AES (z.B. im
VIA C-7 padlock) nicht mehr im Kernel, sondern muss als Modul nachgeladen werden:
Nachladen der Module:
modprobe aes-i586
modprobe cryptoloop
Weitere Anmerkung:
siehe auch
DirectCrypt, ein GUI für diese Art von verschlüsselten Dateisystemen
1. Dateisystem vorbereiten
Zunächst gibt es das Tool dd, das Dateien erstellt. Man sollte unbedingt zufällige Muster schreiben lassen, damit später schwerer Muster in den verschlüsselten Daten gefunden werden können.
1.1 Eine Partition überschreiben
dd if=/dev/urandom of=/dev/hda10 bs=1M
Dieser Befehl überschreibt eine Partition
/dev/hda10 mit zufälligen Mustern komplett.
ACHTUNG! Das sollte man nie bei einer Partition anwenden, die bereits Daten enthält, denn sonst wird alles darauf unwiederbringlich gelöscht!
1.2 Eine Datei erstellen
dd if=/dev/urandom of=/mnt/hda10/crypto.aes bs=1k count=10000
Dieser Befehl schreibt eine Datei auf die Partition hda10 (gemountet muss die schon sein), die 10000 Blöcke von 1 kB Grösse enthält, also etwa 10MB.
2. Loopdevice erstellen
Das Loopdevice ist ein emuliertes Gerät in der Art einer richtigen Festplatte. Ich beschreibe hier mal ein Beispiel mit
/dev/loop0 hin. Als Verschlüsselung nehme ich AES mit einem 256 Bit Schlüssel.
Für eine Partition:
losetup -e aes-256 /dev/loop0 /dev/hda10
Für eine Datei:
losetup -e aes-256 /dev/loop0 /mnt/hda10/crypto.aes
3. Dateisystem erstellen
Nun muss in der Datei gleichermassen wie in der Partition ein Dateisystem erstellt werden.
/dev/loop0 ist das emulierte Gerät mit Verschlüsselung.
4. Einhängen des verschlüsselten Dateisystems
4.1. Für die Partition gibt es 2 Möglichkeiten:
4.1.1.
Man kann eine Zeile in die /etc/fstab eintragen
/dev/hda10 /mnt/crypto ext3 noauto,loop,encryption=aes-256 0 0
und dann einfach mounten
4.1.2
Oder man kann auch wieder ein Loopdevice erstellen
losetup -e aes-256 /dev/loop0 /dev/hda10
und das dann mounten
mount /dev/loop0 /mnt/crypto
4.2. Für die Datei gibts nur eine Möglichkeit
Das Loopdevice erstellen
losetup -e aes-256 /dev/loop0 /mnt/hda10/crypto.aes
und das dann mounten
mount /dev/loop0 /mnt/crypto
5. Aushängen des verschlüsselten Loopdevices
Erstmal muss man den Mountpoint ganz normal aushängen
und dann noch das Loopdevice löschen
Viel Spass mit dem verschlüsselten Dateisystem.
Interessant sind verschlüsselte live-USB-sticks "persistent" zus. mit hw crypto im stick.