USB-Sticks werden gerne mit durch die Gegend getragen, sie sind klein und gehen gerne verloren. Problematisch wird es, wenn auf solchen Datenträgern sensible Daten liegen und sie verloren gehen. Solche Datenträger zu verschlüsseln, ist eine sehr sichere Option. Sind sie mit einem sicheren Passwort versehen, gibt es derzeit keine Methode, in absehbarer Zeit an die Daten darauf zu kommen, wenn man das Passwort nicht kennt. Mit LUKS gelingt dies unter Linux ganz einfach.
USB-Sticks und externe Festplatten verschlüsseln
Zu Beginn sollten Sie den zu verschlüsselnden Datenträger neu formatieren, etwa mit „ext4„, zum Formatieren nutzen Sie etwa die Software Gparted.
Anschließend müssen wir wissen, wie sich der Datenträger nennt. Dazu führen Sie, wenn Sie sich nicht sicher sind, auf dem Terminal als Administrator folgenden Befehl einmal bei nicht angeschlossenem und einmal bei angeschlossenem Zustand aus:
fdisk -l
Der Unterschied ist dann unser zu verschlüsselnder Datenträger. Im folgenden Beispiel wird sich die darauf liegende Partition „/dev/sdb1“ nennen.
Diese Partition überschreiben wir zu Beginn mit Zufallsdaten. Dies sorgt dafür, dass der mögliche Finder des Datenträgers wenige bis keine Informationen über verschlüsselten Daten bekommt – etwa die Größe der Daten. (Alle folgenden Befehle als Administrator am Terminal):
dd bs=4K if=/dev/urandom of=/dev/sdb1
Nun laden wir das Modul zur Verschlüsselung in den Kernel:
modprobe dm_crypt
Damit wir das Modul später beim Entschlüsseln eines Datenträgers nicht mehr laden müssen, schreiben wir es in die Systemdatei „/etc/modules„, somit startet es automatisch mit dem System:
echo dm_crypt >> /etc/modules
Jetzt können wir den Datenträger verschlüsseln:
cryptsetup -yvh sha256 -c aes-xts-plain -s 256 luksFormat /dev/sdb1
Mit „-yvh sha256“ wird das Passwort zur Sicherheit zweimal abgefragt, und das Passwort wird mit einem 256 Bit langen Hash-Wert gespeichert. Mit „-c“ geben Sie die Verschlüsselung selbst an – hier „aes-xts-plain -s 256“ – ein 256 Bit langer Schlüssel. „luksFormat /dev/sdb1“ erstellt wiederum die Partition. Sie können natürlich andere Algorithmen und andere Stärken zur Verschlüsselung nutzen – mehr dazu über die Manpage:
man cryptsetup
Nachdem Sie den Befehl zum Verschlüsseln gestartet haben, werden Sie nach dem Passwort gefragt, das zum Entschlüsseln genutzt werden soll.
Hat Cryptsetup seine Aufgabe abgeschlossen, öffnen Sie den verschlüsselten Stick auf dem Terminal mit:
cryptsetup luksOpen /dev/sdb1 name
„name“ ersetzen Sie dabei durch eine beliebige Bezeichnung, etwa den Namen des Sticks, hier werde ich einfach mit „name“ weitermachen. Nun erstellen wir darauf ein Dateisystem – etwa „ext4„:
mkfs.ext4 /dev/mapper/name
Jetzt hängen wir die verschlüsselte Partition ein:
mount /dev/mapper/name /mnt/
Nun übergeben wir die Partition an den gewünschten Benutzer, in meinem Beispiel einfach „robert„:
chown -R robert:robert /mnt/
Zuletzt schließen wir die verschlüsselte Partition:
cryptsetup luksClose /dev/mapper/name
Ziehen Sie den Stick ab und schließen ihn wieder an – je nach Desktop-Umgebung werden Sie schon nach dem Anschließen automatisch nach dem Passwort gefragt, oder erst dann, wenn Sie im Dateimanager auf den Datenträger klicken, um diesen zu öffnen.
Erstveröffentlichung: So 8. Aug 2021, 14:48
Eine Reaktion
Also bei mir haut das nicht hin. Ich wollte das mal testen mit einem neuen USB-Stick diesen zu verschlüsseln. Formatiert als Ext4. So weit so gut. Aber nach dem sudo dd bs=4K if=/dev/urandom of=/dev/sdb1
Wobei auch bei mir sdb1 angezeigt wird und so richtig ist!
tut sich nichts im Terminal. Da kann ich ewig warten es tut sich nichts.
Nächster Versuch war: einen Ordner ganz normal auf den USB-Stick zu kopieren, geht auch nicht. Da ist ein Ordner drin mit „Lost+Found“ keine Ahnung warum das nicht geht. Vielleicht kann man USB-Sticks nicht mit Ext4 formatieren? Ich kann ja nicht mal danach auf diesen Stick etwas kopieren wenn dieser mit Ext4 formatiert ist?
Formatiere ich aber jetzt den USB-Stick mit exFat oder FAT32 kann ich Dateien auf den USB-Stick kopieren. Das wollte ich eigentlich so nicht. Ich hätte den gerne verschlüsselt gehabt. Da brauche ich mit Externen SSD-Festplatten wohl gar nicht erst anfangen. Schade…