![\"\"](\"https:\/\/www.butschek.de\/wp-content\/uploads\/2009\/05\/luks.png\" "\\"luks\\"")
<\/a>Mit dm-crypt \/ LUKS<\/a> lassen sich unter Linux Festplatten oder Partitionen verschl\u00fcsseln. Die Details sind auf Wikipedia<\/a> zu finden, dieser Artikel soll zeigen, wie einfach es einsetzbar ist.<\/p>\nWir gehen von einer normalen Debian Lenny installation aus. Ich habe sda in 3 Partitionen unterteilt: Swap (2 GB), Root-FS (10 GB) und \/home (Rest). Die dritte Partition werde ich verschl\u00fcsseln.<\/p>\n
Zuerst installieren wir die Software und laden das n\u00f6tige Kernel-Modul. Dies ist beim Einrichten einmalig manuell n\u00f6tig, beim sp\u00e4teren \u00d6ffnen des Containers wird das Modul automatisch geladen:<\/p>\n
apt-get install cryptsetup\r\nmodprobe<\/a> dm_crypt<\/pre>\nNun starten wir die Einrichtung:<\/p>\n
cryptsetup<\/a> luksFormat \/dev\/sda3<\/pre>\nMit luksOpen \u00f6ffnen wir den verschl\u00fcsselten Bereich. Dadurch entsteht ein neues Ger\u00e4t namens \/dev\/mapper\/{name} welches das „ge\u00f6ffnete“ \/dev\/sda3 repr\u00e4sentiert, jedoch in nichtverschl\u00fcsselter Form. Wir benutzen also k\u00fcnftig \/dev\/mapper\/{name}, wobei alles, was wir dorthin speichern transparant verschl\u00fcsselt und nach \/dev\/sda3 geschrieben wird.<\/p>\n
cryptsetup luksOpen \/dev\/sda3 private<\/pre>\nWir haben der Partition also nun den Ger\u00e4tenamen ‚privat‘ gegeben, daher finden wir unsere lesbare „Partition“ nun unter \/dev\/mapper\/private. Nun formatieren wir die Partition:<\/p>\n
mkfs.xfs<\/a> -L sda3-priv \/dev\/mapper\/private<\/pre>\nFertig, schon kann die Partition gemountet und genutzt werden:<\/p>\n
mount \/dev\/mapper\/private \/home<\/pre>\nWas ich an dieser Stelle gerne empfehle ist das vollst\u00e4ndige \u00dcberschreiben der Festplatte. Beim luksFormat wird der Bereich n\u00e4mlich nicht \u00fcberschrieben, es wird nur der leere Index angelegt. Die zuvor unverschl\u00fcsselt gespeicherten Daten sind also noch rekonstruierbar.<\/p>\n
Das „Ausnullen“ (\u00dcberschreiben mit lauter 0x00 Bytes) vermeide ich hier, da ein Angreifer sonst verschl\u00fcsselte und unverschl\u00fcsselte Daten gro\u00dfer Teile der Platte kennen k\u00f6nnte und somit gezielt nach dem Schl\u00fcssel suchen k\u00f6nnte. Daher benutze ich hier \/dev\/urandom:<\/p>\n
dd<\/a> if=\/dev\/urandom of=\/home\/fillup.dat bs=1M\r\nrm \/home\/fillup.dat<\/pre>\nEine interessante Sache \u00fcbrigens: Das F\u00fcllen mit Zufallsdaten k\u00f6nnte theoretisch auch vor dem luksFormat direkt auf \/dev\/sda3 erfolgen, man k\u00f6nnte sogar annehmen, dass dies schneller geht, weil die Zufalldaten dann nicht verschl\u00fcsselt geschrieben werden m\u00fc\u00dften. Da die Verschl\u00fcsselung jedoch die Entropie der Zufallszahlen ganz vewaltig in die H\u00f6he treibt, geht das Erzeugen von Zufallszahlen beim \u00dcberschreiben des gecrypteten Bereiches in der Tat schneller als beim \u00dcberschreiben der Platte sda3.<\/p>\n
Meine Messwerte:<\/p>\n