Geeks have feelings too

Verschlüsselte Partitionen unter Linux mit Loop-AES und GPG

This post is also available in english.

Yeah, gestern endlich mal wieder eine richtige Linux-Hacking Session gehabt. Diesesmal wollte ich auf einer externen Festplatte Daten verschlüsselt ablegen. Ziel war es möglichst komfortabel die Festplatte betreiben zu können und sich dabei nicht noch ein extra langes Passwort sich merken zu müssen, wenn man wie ich schon ein GPG-Schlüsselpaar und damit eine Passphrase hat.
Die Kurzanleitung dazu gibt es hier, Links zu ausführlicheren Anleitungen stehen am Ende des Posts.

Voraussetzungen

Gebraucht wird eine Festplatte auf der momentan keine Daten sind. Diese sollte bereits partitioniert sein. Falls das noch nicht der Fall ist, einfach flux mit einem beliebigen Partitionsprogramm nachholen. Sollte es gewünscht sein, eine vorhandene Datenpartition im Nachhinein zu verschlüssen, geht dies auch, wird aber von mir hier nicht beschrieben (es wird aber in den Links erklärt, die am Ende des Artikels aufgeführt sind).

Das Paket util-linux muss ebenfalls installiert und passend kompiliert sein. Bei allen Binärdistributionen, sollte util-linux bereits mit den Crypto-Funktion kompiliert worden sein, so dass eine einfache Instalation ausreicht. Unter Gentoo bitte darauf achten, dass das USE-Flag “crypt” gesetzt ist.

Außerdem muss GPG installiert und ein Schlüsselpaar generiert sein.

Los geht es

1. Zuerst sollte überprüft werden, ob der Kernel den Crypto-Algorithmus AES256 kennt. Das macht du am besten indem du make menuconfig im Verzeichnis der Kernel-Sourcen ausführst (meist /usr/src/linux) und dort unter Cryptographic options nachsiehst, ob der Punkt AES cipher algorithms aktiviert ist. Weitere Anforderungen sind im Gentoo Wiki aufgelistet.

2. Zusätzlich muss das Paket Loop-AES installiert sein. Am besten installiert man es über die distributionseigenen Kanäle. Unter Gentoo reicht ein emerge loop-aes.

3. Anschließend muss man das Passwort generieren, mit dem die Festplatte geschützt wird. Dieses Passwort musst du dir nicht merken können, da wir es in einer Datei ablegen, die wir später mit GPG verschlüsseln. Also generiert man sich ein möglichst langes Zufallspasswort. Ich habe dazu apg verwendet (apg -a 1 -n 1 -m 23 -x 65 | gpg --symmetric -a > key.asc). Aber man kann auch direkt die random Devices verwenden, wie es in dieser Anleitung empfohlen wird.

   Die generierte Datei legt man je nach Anwendungsfall ab, aber am besten immer physikalisch getrennt vom zu verschlüsselnden Medium. Möchte man also eine Partition der intern verbauten Festplatte verschlüsseln, bietet es sich an, die Datei auf einem USB Stick oder einer Smartcard abzulegen. Ist das verschlüsselte Ziel eine externe Platte, kann man die Datei auf der internen Festplatte ablegen. Oder auf einer CD-ROM. Oder auf einer DVD. Irgendwo. Hauptsache weg vom Zieldevice.
   Anschließend die Schlüsseldatei unbedingt noch mit chmod 400 key.asc schützen.

4. Nun verbindet man das physikalische Device mit dem Loop Device, das die Verschlüsselung vornimmt. Das geht mit dem Befehl losetup: losetup -e AES256 -K /path/to/your/key.asc /dev/loop0 /dev/sda1. Anschließend wird man nach seiner GPG Passphrase gefragt.

5. Beim ersten mal formatieren wir nun die nun verfügbare Partition: mkfs.ext3 /dev/loop0

6. Nun ist die Partition mit einem normalem mount nutzbar: mount /dev/sda1 /mnt/crypto

7. Um das Ganze möglichst komfortabel zu machen, empfiehlt es sich den entsprechenden Eintrag in der fstab zu machen:
   /dev/sda1 /mnt/crypto ext3 user,noauto,loop=/dev/loop0,encryption=AES256,gpgkey=/path/to/your/key.asc 0 0

8. Anschließend kann die Partition wie jede andere benutzt werden: mounten, nutzen, unmounten. Lediglich die Eingabe der Passphrase kommt hinzu. Richtig komfortabel wird es in Verbindung mit eindeutigen udev Regeln und einem Automounter.

Weiterführende Links

1. http://de.gentoo-wiki.com/LoopAES
2. http://www.andreasgrau.de/index.php?lang:german;loc:crypto;subloc:
3. http://wiki.debianforum.de/CryptoFsMitUsbStick
4. http://linuxundco.blueyacy.de/15.0.html