TrueCrypt gibt es nicht mehr, und der Zweck dieses Beitrags ist es, Ihnen die einfache Partitionsverschlüsselung mit dm-crypt luks zu zeigen.
DM-Crypt ist eine transparente Laufwerksverschlüsselung, die ein Kernel-Modul und Teil des Device-Mapper-Frameworks zum Zuordnen physischer Blockgeräte zu virtuellen Blockgeräten höherer Ebene ist. Es verwendet kryptografische Routinen aus der Krypto-API des Kernels. Um es kurz zu machen, die Gerätezuordnungsverschlüsselung wird von der Kernel-„Linux“-Krypto-API bereitgestellt.
Stellen Sie sicher, dass Sie mindestens haben eine Partition ohne Daten darin. Wenn Sie keine Partitionen zur Verfügung haben, verwenden Sie parted, gparted oder ein beliebiges Programm, um einige Ihrer vorhandenen Partitionen zu verkleinern und eine neue zu erstellen.
Ich verwende eine Partition namens /dev/sda3 , und unsere erste Aufgabe besteht darin, diese Partition dreimal mit zufälligen Daten zu überschreiben, das reicht aus, um Sie vor forensischen Untersuchungen zu schützen. Ich habe fast 30 Minuten gebraucht, um eine 20-GB-Partition dreimal zu überschreiben.
shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda3
Erstellen Sie ein kryptografisches Gerätezuordnungsgerät im LUKS-Verschlüsselungsmodus:
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda3
Ihnen wird die folgende Frage gestellt:
WARNING!
========
This will overwrite data on /dev/sda3 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter passphrase:
Verify passphrase:
Command successful
Entsperren Sie die Partition, hier "root" ist der Geräte-Mapper-Name, betrachten Sie ihn als Label.
cryptsetup open --type luks /dev/sda3 root
Wir müssen ein Dateisystem erstellen, um verschlüsselte Daten zu schreiben, auf die über den Geräte-Mapper-Namen (Label) zugegriffen werden kann.
mkfs.ext4 /dev/mapper/root
Mounten Sie das Gerät und übertragen Sie alle Ihre Daten:
mount -t ext4 /dev/mapper/root /mnt
Unmounten und schließen Sie das Gerät, wenn Sie fertig sind:
umount /mnt
cryptsetup Root schließen
Löschen Sie zu guter Letzt die Kopier- und Cache-Puffer:
sysctl --write vm.drop_caches=3
Das war es, einfache und unkomplizierte Verschlüsselung. Von nun an müssen Sie nur noch:entsperren, mounten, Daten übertragen, unmounten und das Gerät schließen.
Wenn Sie ein paar Stunden Zeit zum Experimentieren haben, können Sie diese Seiten lesen:
Link 1, Link 2, Link 3, Link 4, Link 5, Link 6, Link 7
Schützen Sie Ihr /boot Partition, wenn Sie eine vollständige Festplattenverschlüsselung wünschen. Alles ist ausführlich in den obigen Links beschrieben.
Nachbearbeitung:Die Dinge werden noch besser, da ich gerade erfahren habe, dass es möglich ist, LUKS-verschlüsselte CDs und DVDs zu brennen.
Anstatt die Laufwerkspartition zu verwenden, erstellen wir eine Datei über dd und den Zufallszahlengenerator des Kernels /dev/urandom das wird die Anfangsdatei mit falscher Entropie füllen.
Erstellen Sie eine 500-MB-Datei, die als Dateisystem innerhalb einer einzelnen Datei verwendet wird.
dd if=/dev/urandom of=encrypted.volume bs=1MB count=500
Ersetzen Sie einfach den ersten Befehl in diesem Beitrag (shred) mit dem dd one und geben Sie die restlichen Befehle unverändert ein.
Jetzt können Sie sicher sein, dass niemand an Ihren Daten vorbeikommt, die in der einzigen Datei gebrannt werden, die das gesamte Dateisystem in LUKS-Verschlüsselung darstellt. Stellen Sie einfach sicher, dass Sie encrypted.volume aushängen und schließen bevor Sie es auf die Disc brennen.