Die Verschlüsselung des Betriebssystems und externer Speichermedien ist eine der ersten Maßnahmen zur Erhöhung Datensicherheit. Sofern man ein weitgehend homogenes Linux-Ökosystem verwendet, ist es sinnnvoll für die Verschlüsselung der externen Speichermedien auf das native LUKS (dm-crypt) zurückzugreifen. Sollte die Speichermedien jedoch auch von macOS oder Windows benutzbar sein, ist ein Rückgriff auf den TrueCrypt-Nachfolger VeraCrypt sinnvoll.
Die Verschlüsselung von externen Speichermedien mittels LUKS ist unter Linux bereits seit langem auf der Konsole mittels cryptsetup möglich. Grafische Oberflächen hängen in der Linux-Welt oftmals ein wenig hinterher, aber neueste Version des KDE Partition Manager kann nun auch mit LUKS-Volumes umgehen.
Um die KDE-Partitionsverwaltung war es lange Zeit recht ruhig geworden. Die forcierte Entwicklung der distributionsübergreifenden Installationsroutine Calamares hat jedoch einen Entwicklungsschub in der Partitionsverwaltung ausgelöst, da Calamares ebenfalls die Bibliothek KPMCore zur Partitionierung verwendet.
[zt_message_box type=”warning” extra-class=”message-box”]Die folgende Anleitung führt zum Datenverlust auf dem gewählten externen Speichermedium. Daten sind vorher deshalb unbedingt zu sichern![/zt_message_box]
Die Verschlüsselung eines externen Speichermediums wie z.B. einer externen Festplatte oder eines USB-Sticks sind, dank der einfach gehaltenen Oberfläche, leicht zu realisieren. Grundsätzlich kann der Partition Manager in seiner aktuellen Version lediglich eine normale Partition mit LUKS verschlüsseln. Verschlüsselte LVM-Container, die gerne auf Betriebssystemebene verwendet werden, sind zur Zeit noch nicht unterstützt. Sofern das gesamte Gerät verschlüsselt werden soll, darf es also lediglich eine Partition enthalten.
Installation
Viele Distributionen haben den Partition Manager in ihren Paketquellen, allerdings oft in keiner aktuellen Version. Die Einrichtung einer verschlüsselten Partition setzt mindestens Version 2.2 voraus. Diese ist zur Zeit lediglich bei Arch Linux und seinen Abkömmlingen enthalten. Kubuntu nutzt noch Version 1.2, Debian hat das Paket zur Zeit sogar vollständig aus dem Testingzweig verbannt. OpenSUSE hat zwar eine aktuelle Version im OBS, hier hat man aber auch die Möglichkeit mittels des nativen YaST-Partitionierers eine Verschlüsselung vorzunehmen.
Verschlüsselte Partition einrichten
[zt_message_box type=”warning” extra-class=”message-box”]Bitte bei den folgenden Schritten aufpassen, dass auch wirklich das richtige Speichermedium ausgewählt ist![/zt_message_box]
In einem ersten Schritt wird das entsprechende Medium angeschlossen und der Partition Manager gestartet. Bestehende Partitionen müssen gelöscht oder gleich mit einem Rechtsklick auf das Medium eine neue Partitionstabelle angelegt werden. Anschließend wird eine neue Partition auf dem gewählten Gerät angelegt. Zu beachten ist, dass nicht alle Dateisysteme eine Verschlüsselung mittels LUKS unterstützen. Das auf USB-Sticks weitverbreitete FAT lässt sich beispielsweise nicht verschlüsseln. Die üblichen Linux-Dateisysteme für Daten-Partitionen wie z.B. ext4 oder XFS lassen sich aber verschlüsseln.
Ob eine Verschlüsselung möglich ist sieht man daran, dass “Mit LUKS verschlüsseln” unterhalb der Dateisystemauswahl angezeigt wird. Sofern man hier einen Haken gesetzt hat, lässt sich ein Passwort festlegen. Praktischerweise wird unterhalb gleich die Stärke des Passworts visualisiert. Wahlweise lässt sich nun noch eine Bezeichnung (Label) der Partition festlegen. Abschließend wird über die Schaltfläche “Anwenden” in der Werkzeugleiste die Partitionierung des Mediums vorgenommen.
Ist der Partitionierungsvorgang erfolgreich abgeschlossen wird die verschlüsselte Partition mit dem Dateityp und dem Zusatz [LUKS] im Partition Manager angezeigt. Sobald man das Speichermedium in z.B. Dolphin oder über die Plasma-Geräteüberwachung einbindet, erfolgt eine Passwortabfrage.
Die Option “Passwort merken” speichert das Kennwort in der KWallet.
Bilder:
Einleitungs- und Beitragsbild von Mudassar Iqbal via Pixabay
