Partition verschlüsseln

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Manfred89
Beiträge: 34
Registriert: 10.02.2023 11:18:01

Partition verschlüsseln

Beitrag von Manfred89 » 28.04.2023 14:47:51

Hey zusammen,

ich habe bzw. musste mich für einen Kurs anmelden über Linux-Distributionen und allgemeines Verständnis etc...

Nu bin ich auf das Thma Verschlüsselung gestoßen und ich verstehe da absolut ein paar Dinge nicht, trotz recherchieren.

Und zwar:

Allgemeines:
  • LUKS: Verschlüsselungsprogramm für Dateisysteme
  • Hilfsprogramm cryptsetup
  • Alternative zu crypsetup: dm-crypt, truecrypt
  • LUKS im Kernel drin -> keine Installation
  • Alle Daten werden gelöscht vor Verschlüsselung
Vorbereitung (Beispiel USB-Stick):
  • cryptsetup installieren

Code: Alles auswählen

apt install cryptsetup
  • Kernel-Modul für Device Mapper laden

Code: Alles auswählen

modprobe dm_mod
Vorgehensweise
  • Verschlüsselung der Partition

Code: Alles auswählen

cryptsetup luksFormat /dev/sdb1
  • Gerätedatei für DeviceMapper erstellen

Code: Alles auswählen

cryptsetup luksOpen /dev/sdb1 safe
  • Gerätedatei formatieren

Code: Alles auswählen

mkfs.ext2 /dev/mapper/safe
  • Mountpoint erstellen

Code: Alles auswählen

mkdir /safe
mount  /dev/mapper/safe   /safe

Nu meine Fragen:
  • Der Stick ist quasi leer und wird verschlüsselt?
  • Warum wird eine Mapper-Datei erzeugt bzw. was bewirkt die? Kann ich nicht per Passphrase einfach auf den Stick zugreifen?
  • Ist die Mapper-Datei eine Partition (wird ja formatiert)?
  • Ist die Mapper-Datei auf dem Stick oder auf meinem System?
  • Wenn die auf dem System ist, kann dann der Stick nur von meinem System benutzt werden? (macht ja keinen Sinn)
Danke euch und sorry für die Fragen. Bin echt noch Anfänger und muss mich quasi damit außeinandersetzen.

DaCoda
Beiträge: 172
Registriert: 09.07.2019 21:58:10

Re: Partition verschlüsseln

Beitrag von DaCoda » 30.04.2023 19:29:14

Hallo Manfred89,

zu deinen Fragen:

1. Der Stick ist quasi leer und wird verschlüsselt?
Dein Befehl cryptsetup luksFormat /dev/sdb1 löscht alles auf Partition sdb1. Natürlich können theoretisch weitere Paritionen auf dem Stick sein. Nach dem Befehl hast du eine leere verschlüsselte Parition. Da ist quasi gar nix drauf. Nichtmal ein Dateisystem. Du kannst auch den kompletten Stick verschlüsseln indem du cryptsetup luksFormat /dev/sdb machst. Dann hast du keine unverschlüsselte Partitionstabelle, an welcher jemand rumspielen könnte.

2. Warum wird eine Mapper-Datei erzeugt bzw. was bewirkt die? Kann ich nicht per Passphrase einfach auf den Stick zugreifen?
Die Datei /dev/sdb1 ist ja deine verschlüsselte Parition. Wenn du diese Datei liest, siehst du nur verschlüsselte Daten. Die Mapper-Datei hingegen zeigt dir die entschlüsselten Daten an. Das macht also Sinn so.

luksFormat fragt dich nach einer Passphrase. Deshalb verstehe ich nicht warum du das fragst. Man kann eine luks-Paritions prinzipiell per Passphrase und/oder Schlüsseldatei entschlüsseln.

3. Ist die Mapper-Datei eine Partition (wird ja formatiert)?
Bei deinen Befehlen ja. Aber wie bereits gesagt kann man auch den ganzen Stick verschlüsseln. Dann ist die Mapper-Datei quasi das ganze Gerät.

4. Ist die Mapper-Datei auf dem Stick oder auf meinem System?
Die Mapper-Datei ist virtuell. Es gibt bei Linux sehr viele virtuelle Dateien. Der Dateipfad /dev/mapper/safe existiert weder auf der Festplatte deines PCs noch auf dem Stick.

5. Wenn die auf dem System ist, kann dann der Stick nur von meinem System benutzt werden? (macht ja keinen Sinn)
Die virtuelle Mapper-Datei wird per luksOpen erzeugt. Und das kann jeder an jedem PC machen, wenn er die Passphrase kennt.

Man kann Sticks auch mit dem Tool gnome-disks formatieren und unter KDE mit dem Dolphin Datei-Explorer einhängen. Es ist also möglich alles ohne Kommandozeile zu machen, wenn man will. Gleiches gilt für die Systempartition bei der Installation.

Die Zeile modprobe dm_mod kannst du dir sparen. Zumindest bei mir geht das automatisch. Außerdem solltest du mkfs.ext4 an Stelle von mkfs.ext2 verwenden.

Manfred89
Beiträge: 34
Registriert: 10.02.2023 11:18:01

Re: Partition verschlüsseln

Beitrag von Manfred89 » 01.05.2023 11:23:36

  • Es wird also (nach Abfrage der Passphrase) eine virtuelle Mapper-Datei/Partition erzeugt, die die Partition in dem Fall unverschlüsselt darstellt. Quasi ein Abbild der Partition, nur unverschlüsselt?
  • Und wenn ich diese Mapper-Datei/Partition mit einem Dateisystem versehe, wird quasi die physische Partition mit einem Dateisystem ausgestattet?
  • Und die Mapper-Datei wird durch LUKS erstellt und abgefragt?
  • Wenn ich den Stick an einem anderen Gerät anschließe, wird die Passphrase benötigt und danach hat man Zugriff auf diese Mapper-Datei?

Stimmt das so ungefähr? Ich stell mich da echt schwer an, sorry

wanne
Moderator
Beiträge: 7569
Registriert: 24.05.2010 12:39:42

Re: Partition verschlüsseln

Beitrag von wanne » 02.05.2023 13:41:04

Stimmt das so ungefähr?
Ja. Ungefähr.
Ich denke du hast es verstanden. Allerdings sind deine Worte etwas falsch gwählt.
  • Linux kennt "block devices". Das können ganze Festplatten, Partitionen, RAIDs über mehrere Festplatten, oder eben die entschlüsselten Daten eines anderes block devices sein. block devices sind Dateien und Partitionen sind block devices. Aber dein mapper ist keine Partition. (Aber natürlich eine Datei. Aber keine "reguläre Datei") unter Linux könntest du Partitionen in den Mapper packen. Auch wenn das sicher keinem Standard entspricht.
  • Nicht die Partition wird mit einem Dateisystem bestückt sondern das entschlüsselte device. (Das ist der große unterschied zu z.B. encfs) Das hat den großen Vorteil, dass auch alle Informationen übers Dateisystem verschlüsselt sind. Passend gibt es weit weniger sidechannels. Also z.B. Möglichkeiten, dass man z.B. über Dateinamen, -Größen auf den Inhalt schließen kann. Oder am Änderungsdatum erkennen kann was da runter geladen wurde, wenn man den Download beobachten konnte.
  • Prinzipiell kümmert sich LUKS nur um Passwort-abfrage etc. das eigentliche entschlüsseln/verschlüsseln übernimmt dann dn-crypt.
  • Zu 4.: Genau.
rot: Moderator wanne spricht, default: User wanne spricht.

Manfred89
Beiträge: 34
Registriert: 10.02.2023 11:18:01

Re: Partition verschlüsseln

Beitrag von Manfred89 » 02.05.2023 14:11:28

Linux kennt "block devices". Das können ganze Festplatten, Partitionen, RAIDs über mehrere Festplatten, oder eben die entschlüsselten Daten eines anderes block devices sein. block devices sind Dateien und Partitionen sind block devices. Aber dein mapper ist keine Partition. (Aber natürlich eine Datei. Aber keine "reguläre Datei") unter Linux könntest du Partitionen in den Mapper packen. Auch wenn das sicher keinem Standard entspricht.
  • Also ist es immer eine Mapper-Datei, halt eine virtuelle, die nur solange da ist, wie der Stick entschlüsselt ist?
Nicht die Partition wird mit einem Dateisystem bestückt sondern das entschlüsselte device.
  • Also liegt über dem entschlüsselten Device / Dateisystem eine verschlüsselte Schicht ohne Dateisystem?
Prinzipiell kümmert sich LUKS nur um Passwort-abfrage etc. das eigentliche entschlüsseln/verschlüsseln übernimmt dann dn-crypt.
  • Ok gut zu wissen. Dann steht es im Buch bisschen anders. Im Buch steht z.B., wenn man einen Datenträger mit LUKS verschlüsseln will, kann man das Hilfsprogramm Cryptsetup verwenden (Inhaltliche Wiedergabe)
Danke dir / euch schon mal!

Benutzeravatar
cosinus
Beiträge: 4268
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Partition verschlüsseln

Beitrag von cosinus » 02.05.2023 14:31:15

Manfred89 hat geschrieben: ↑ zum Beitrag ↑
02.05.2023 14:11:28
Also ist es immer eine Mapper-Datei, halt eine virtuelle, die nur solange da ist, wie der Stick entschlüsselt ist?
Wenn du eine verschlüsselte Partition hast, zB /dev/sda1, dann stellt dm-crypt diese als /dev/mapper/irgendeinname bereit.
Manfred89 hat geschrieben: ↑ zum Beitrag ↑
02.05.2023 14:11:28
Also liegt über dem entschlüsselten Device / Dateisystem eine verschlüsselte Schicht ohne Dateisystem?
Kann man so sehen. Das entschlüsselte Device /dev/mapper/irgendwas verhält sich dann wie eine "normale" Partition wie zB /dev/sda1

wanne
Moderator
Beiträge: 7569
Registriert: 24.05.2010 12:39:42

Re: Partition verschlüsseln

Beitrag von wanne » 03.05.2023 16:13:46

Manfred89 hat geschrieben: ↑ zum Beitrag ↑
02.05.2023 14:11:28
Ok gut zu wissen. Dann steht es im Buch bisschen anders. Im Buch steht z.B., wenn man einen Datenträger mit LUKS verschlüsseln will, kann man das Hilfsprogramm Cryptsetup verwenden (Inhaltliche Wiedergabe)
Das ist nicht falsch. Am Ende sind die beiden Sachen tief ineinander verzahnt und es wird irgend wann schwierig die auseinander zu halten. Von der Idee her ließt cryptsetup den LUKS-header und das Passwort um festzustellen wie verschlüsselt werden muss. (Welcher Verschlüsselungsalgorithmus in welchem Modus mit welchem Master-Key...) danach weißt es den Kernel an den Rest so zu verschlüsseln.
Prinzipiell könntest du cryptsetup (zumindest bei LUKS1) auch mit zig Optionen dazu bringen direkt zu ver-/entschlüsseln ganz ohne LUKS zu verwenden. (Dann kannst du dir auch das luksFormat sparen.) Oder ein C-Programm schreiben dass den Kernel direkt anweist das zu machen. Oder ein Programm wie FreeOTFE nutzen, dass das verschlüsseln ganz selbstständig erledigt.
Kurz: LUKS eine Beschreibung wie man verschlüsselt. Und dm-crypt ein teil des Kernels, der wirklich verschlüsseln kann. cryptsetup ist ein kleines Programm dass diese Beschreibung versteht und die passende Funktion im Kernel aufruft.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten