USB-Sticks werden gerne mit durch die Gegend getragen, sie sind klein und gehen gerne verloren. Problematisch wird es, wenn auf solchen Datenträgern sensible Daten liegen und sie verloren gehen. Solche Datenträger zu verschlüsseln, ist eine sehr sichere Option. Sind sie mit einem sicheren Passwort versehen, gibt es derzeit keine Methode, in absehbarer Zeit an die Daten darauf zu kommen, wenn man das Passwort nicht kennt. Mit LUKS gelingt dies unter Linux ganz einfach.

USB-Sticks und externe Festplatten verschlüsseln

Zu Beginn sollten Sie den zu verschlüsselnden Datenträger neu formatieren, etwa mit „ext4„, zum Formatieren nutzen Sie etwa die Software Gparted.

Anschließend müssen wir wissen, wie sich der Datenträger nennt. Dazu führen Sie, wenn Sie sich nicht sicher sind, auf dem Terminal als Administrator folgenden Befehl einmal bei nicht angeschlossenem und einmal bei angeschlossenem Zustand aus:

fdisk -l

Der Unterschied ist dann unser zu verschlüsselnder Datenträger. Im folgenden Beispiel wird sich die darauf liegende Partition/dev/sdb1“ nennen.

Diese Partition überschreiben wir zu Beginn mit Zufallsdaten. Dies sorgt dafür, dass der mögliche Finder des Datenträgers wenige bis keine Informationen über verschlüsselten Daten bekommt – etwa die Größe der Daten. (Alle folgenden Befehle als Administrator am Terminal):

dd bs=4K if=/dev/urandom of=/dev/sdb1

Nun laden wir das Modul zur Verschlüsselung in den Kernel:

modprobe dm_crypt

Damit wir das Modul später beim Entschlüsseln eines Datenträgers nicht mehr laden müssen, schreiben wir es in die Systemdatei „/etc/modules„, somit startet es automatisch mit dem System:

echo dm_crypt >> /etc/modules

Jetzt können wir den Datenträger verschlüsseln:

cryptsetup -yvh sha256 -c aes-xts-plain -s 256 luksFormat /dev/sdb1

Mit „-yvh sha256“ wird das Passwort zur Sicherheit zweimal abgefragt, und das Passwort wird mit einem 256 Bit langen Hash-Wert gespeichert. Mit „-c“ geben Sie die Verschlüsselung selbst an – hier „aes-xts-plain -s 256“ – ein 256 Bit langer Schlüssel. „luksFormat /dev/sdb1“ erstellt wiederum die Partition. Sie können natürlich andere Algorithmen und andere Stärken zur Verschlüsselung nutzen – mehr dazu über die Manpage:

man cryptsetup

Nachdem Sie den Befehl zum Verschlüsseln gestartet haben, werden Sie nach dem Passwort gefragt, das zum Entschlüsseln genutzt werden soll.

Hat Cryptsetup seine Aufgabe abgeschlossen, öffnen Sie den verschlüsselten Stick auf dem Terminal mit:

cryptsetup luksOpen /dev/sdb1 name

name“ ersetzen Sie dabei durch eine beliebige Bezeichnung, etwa den Namen des Sticks, hier werde ich einfach mit „name“ weitermachen. Nun erstellen wir darauf ein Dateisystem – etwa „ext4„:

mkfs.ext4 /dev/mapper/name

Jetzt hängen wir die verschlüsselte Partition ein:

mount /dev/mapper/name /mnt/

Nun übergeben wir die Partition an den gewünschten Benutzer, in meinem Beispiel einfach „robert„:

chown -R robert:robert /mnt/

Zuletzt schließen wir die verschlüsselte Partition:

cryptsetup luksClose /dev/mapper/name

Ziehen Sie den Stick ab und schließen ihn wieder an – je nach Desktop-Umgebung werden Sie schon nach dem Anschließen automatisch nach dem Passwort gefragt, oder erst dann, wenn Sie im Dateimanager auf den Datenträger klicken, um diesen zu öffnen.

Erstveröffentlichung: So 8. Aug 2021, 14:48

Tags:

Schreibe einen Kommentar

Eine Reaktion

  1. Also bei mir haut das nicht hin. Ich wollte das mal testen mit einem neuen USB-Stick diesen zu verschlüsseln. Formatiert als Ext4. So weit so gut. Aber nach dem sudo dd bs=4K if=/dev/urandom of=/dev/sdb1
    Wobei auch bei mir sdb1 angezeigt wird und so richtig ist!
    tut sich nichts im Terminal. Da kann ich ewig warten es tut sich nichts.

    Nächster Versuch war: einen Ordner ganz normal auf den USB-Stick zu kopieren, geht auch nicht. Da ist ein Ordner drin mit „Lost+Found“ keine Ahnung warum das nicht geht. Vielleicht kann man USB-Sticks nicht mit Ext4 formatieren? Ich kann ja nicht mal danach auf diesen Stick etwas kopieren wenn dieser mit Ext4 formatiert ist?

    Formatiere ich aber jetzt den USB-Stick mit exFat oder FAT32 kann ich Dateien auf den USB-Stick kopieren. Das wollte ich eigentlich so nicht. Ich hätte den gerne verschlüsselt gehabt. Da brauche ich mit Externen SSD-Festplatten wohl gar nicht erst anfangen. Schade…

Neue Themen im Forum
Meldung, wenn NFS Share nicht err …Zitat von zebolon am 22. November 2024, 16:27 Uhr Hallo @linuxopa … Weiterlesen
Debian installieren - für Anfänge …Danke LinuxBiber, das hilft gut weiter. Wenn da aber für den De … Weiterlesen
Frage zu GrubDanke @juhu, das war für mich eine reine Verständnisfrage allge … Weiterlesen
Kategorien im Wiki
WIKI-Beiträge des Monates

Die Beiträge des Monates finden Sie im Kalender unter den blau markierten Tageszahlen.

September 2023
M D M D F S S
 123
45678910
11121314151617
18192021222324
252627282930  
Archive