Verschlüsselung

Durch die Installation des Lernsticks auf einem USB-Stick möchte man sichergehen, dass die privaten Dateien geschützt sind, falls der USB-Stick verloren geht oder geklaut wird. Hier bieten sich mehre Möglichkeiten, aber von diesen sind einige relativ experimentell und nicht für den Standard Benutzer gedacht.

Bevor Sie verschlüsseln sollten Sie ein Backup anlegen, weil es immer durch Fehler zu einem Datenverlust kommen kann.

Wenn Sie ihren Schlüssel/Passwort vergessen, gibt es keine Möglichkeit die Daten wieder zu bekommen!

Veracrypt ist der Nachfolger von Truecrypt und behebt einige Fehler, die in Truecrypt gefunden worden sind. Der riesige Vorteil von Veracrypt ist, das es auf allen gängigen Dekstop Plattformen(OSX, Windows und Linux) zu Verfügung steht und es gibt kompatible Anwendungen für Android und IOS.

Es gibt keine deutsche Übersetzung für VeraCrypt unter Linux, aber wohl für die Windows Version.

Installation

  1. Die Linux Version von der Webseite herunterladen
  2. Die heruntergeladene Datei öffnen und die Datei veracrypt-1.17-setup-gui-x86 entpacken.
  3. Danach auf Dateien anzeigen klicken
  4. veracrypt-1.17-setup-gui-x86 doppelt klicken und die Option Ausführen wählen
  5. Install Veracrypt klicken
  6. I accept and agree to be bound by the license terms klicken
  7. Ok klicken
  8. Danach sollte sich ein Terminal öffnen, den kann mit Enter schließen und den dahinter(Konsole) das Gleiche machen
  9. Abmelden (Bei Gnome findet man dies unter dem Menü rechts oben und dann wenn man den Benutzernamen anklickt
  10. Wieder anmelden (Wenn kein Passwort vergeben worden ist einfach Enter drücken)
  11. Nun sollte VeraCrypt in dem Programme Menü unter Hilfsprogramme auftauchen

Einen Veracrypt Container erstellen

  1. Veracrypt öffnen
  2. Create Volume klicken
  3. Create an encrypted file container auswählen
  4. Next klicken
  5. Standard VeraCrypt volume auswählen
  6. Next klicken
  7. Select File klicken
  8. Speicherort wählen(z.B auf der Austausch Partition) und einen Datei Namen vergeben (Dateiendung ist egal)
  9. Speichern klicken
  10. Next klicken
  11. Hier kann man jetzt die Verschlüsselungen auswählen. AES recht in dem meisten Fällen, bei den anderen Optionen sollte man sich umschauen welche Vor- und Nachteile diese haben.
  12. Next klicken
  13. Nun kann man die Größe des VeraCrypt Containers einstellen
    Es lässt sich die Größe des Containers danach nicht mehr ändern bzw. nur auf umständliche Art oder durch die Erstellung eines größeren Containers.
  14. Next klicken
  15. Jetzt kann man das Passwort festlegen. Das Passwort sollte ein möglichst komplexes sein, damit es schwerer Knackbar ist.
  16. Als Standard Filesystem ist FAT ausgewählt, dies macht Probleme falls die einzelnen Dateien über 4GB sind.Falls man den Container auch unter Windows nutzen möchte sollte man sich nicht für Linux Ext2/3/4 entscheiden.
  17. Next klicken
  18. Danach werden Zufallswerte von der Mausbewegung für die Verschlüsselung gesammelt. Einfach die Maus schnell über das VeraCrypt Fenster bewegen.
  19. Format klicken
  20. Es sollte nach einer Zeit eine Meldung erscheinen das VeraCrypt fertig ist
  21. Das Fenster mit dem Klicken auf Ok beenden
  22. Exit klicken
  23. Nun sollte ein Veracrypt Container in dem vorher ausgewähltem Dateipfad sein

Container nutzen

Container öffnen

  1. Veracrypt öffnen
  2. Select File klicken
  3. Den Container auswählen
  4. Öffnen klicken und danach einen freien Slot auswählen
  5. Mount klicken
  6. Passwort eingeben und OK klicken
  7. Nun sollte der Container als normales Speichermedium zu Verfügung stehen.
Container schließen
  1. VeraCrypt öffnen
  2. Den passenden Slot auswählen
  3. Dismount klicken

Bei dieser Methode wird die persistence Partition verschlüsselt. Es bringt den Vorteil mit sich, dass alle Änderungen von dem Master Image verschlüsselt sind und nicht nur das Benutzer-Verzeichnis(/home/user).

Damit diese Verschlüsselung auch unter UEFI funktioniert muss die neuste Version von live-boot installiert sein.

Boot Parameter für luks FIXME

Damit der Lernstick auch merkt, dass die Partition verschlüsselt ist müssen folgende Parameter unter den Weiterte Einstellungen eingeben werden.

persistent=cryptsetup persistence-encryption=luks

Live-boot aktualisieren

  • sudo apt-get update
  • sudo apt-get install live-boot=5.0~a3-1+lernstick2
  • sudo update-initramfs -u -k all

Erstellung der Partition

Die persistence Partition darf nicht für den Lernstick in Benutzung sein. Es empfiehlt sich es einem anderen Rechner dafür zu nutzen. Die richtige Partition kann man mit lsblk finden.

  1. Lernstick Partition normal einhängen
  2. Terminal öffnen
  3. sudo -i
  4. cp -rp /path/to/persistence /tmp (meistens /media/$USER/persistence)
  5. umount /path/to/persistence
  6. cryptsetup –verbose –verify-passphrase luksFormat /dev/sdX (X = persistence Partition)
  7. cryptsetup luksOpen /dev/sdX my_usb
  8. mkfs.ext4 -L persistence /dev/mapper/my_usb
  9. e2label /dev/mapper/my_usb persistence
  10. cp -rp /tmp/persistence /path/to/new_persistence
  11. cryptsetup luksClose /dev/mapper/my_usb
Es gibt mit dieser Methode Probleme, da die meisten Desktop-Oberflächen eigentlich direkt und nicht über einen Login-Manager (wie z.B. GDM) geladen werden. Dies führt dazu, dass die Daten nicht entschlüsselt werden und der Lernstick damit nicht nutzbar ist. Mit dem GNOME-Desktop funktioniert diese Methode jedoch.
GDM bleibt meistens auf einer Desktop-Oberfläche (wie z.B GNOME) stehen. Eine andere Desktop-Oberfläche lässt beim Login unter dem kleinem Zahnrad auswählen. Wenn man die Auswahl auf Systemvorgabe stellt funktioniert das Desktop-Oberflächen Menü des Lernstick wieder für GNOME, Mate, Cinnamon und XFCE. Dafür muss aber das AutoLogin abgeschaltet werden. Siehe Probleme beheben/finden.
Es lassen sich die Desktop-Oberflächen mit xinit im Konsolen-Modus manuell starten. Mehr dazu befindet sich im Debian oder Archlinux Wiki.

Passwörter vergeben

  1. Terminal aufrufen
  2. sudo passwd root (root-Passwort vergeben)
  3. passwd user (Benutzer-Passwort vergeben)

Vorbereitung

  1. Von dem Home-Verzeichnis ein Backup erstellen z.B auf die Austausch-Partition
  2. Benutzer abmelden
  3. Mit STRG+ALT+F4 in eine andere Shell wechseln
  4. Sich mit root und dem gewähltem Passwort anmelden

Verschlüsseln

  1. ecryptfs-migrate-home -u user (Passwort für Benutzer user muss eingeben werden)
  2. reboot

Lernstick starten

  1. Beim Start die GNOME-Oberfläche auswählen
  2. Lernstick starten
  3. Passwort beim Login-Bildschirm angeben

Probleme beheben/finden

  • Falls das Programm su-to-root nach der Prozedur Probleme macht, schafft folgender Befehl Abhilfe: sudo echo „SU_TO_ROOT_SU=sudo“ » /etc/su-to-rootrc
  • Wenn man kein Passwort für root mehr haben möchte funktioniert das mit: sudo passwd -d root
  • Falls man KDE oder LXDE als Desktop-Oberfläche verwenden möchte, muss man das AutoLogin in kdm abschalten. Dies macht man mit folgendem Befehl: sudo sed -i 's/AutoLoginEnable=true/#AutoLoginEnable=true/g' /etc/kde4/kdm/kdmrc
  • Für die Oberflächen, die von gdm3 geladen werden, empfiehlt es sich das AutoLogin und TimedLogin für GDM abzuschalten in /etc/gdm3/daemon.conf. Einfach die Zeilen auskommentieren mit #

Diskussion in der Google-Gruppe.

Skript für die Auswahl der Desktop Oberfläche(live-config) befindet sich auf Github.