Login
Newsletter
Mo, 26. Mai 2014, 14:00

LUKS mit Rettungssystem öffnen

Auf Partitionen, die mit dem Linux Unified Key Setup (LUKS) verschlüsselt sind, kann man im Notfall auch mit einem Live-System zugreifen. Nötig ist nur das Passwort.

Linux bietet eine große Auswahl an sicheren Verschlüsselungsmethoden für einzelne Dateien und zur Erstellung von verschlüsselten Containern, die wiederum ein verschlüsseltes Dateisystem enthalten. Eine umfassende Verschlüsselung für alle Daten auf Festplatten leisten aber nur Truecrypt und – noch bequemer – das Linux Unified Key Setup (LUKS), das bei der Komplettverschlüsselung eines Systems zum Einsatz kommt. Der grafische Installer von Ubuntu kann seit Version 12.10 schon beim Setup mit der Option »Die neue Ubuntu-Installation zur Sicherheit verschlüsseln« ein komplett LUKS-chiffriertes System einrichten. Dort liegen dann nur noch die zum Start notwendige Partition /boot (/dev/sda1) mit dem Boot-Loader Grub 2, die initiale Ramdisk und der Kernel im Klartext auf der Festplatte. Beim Systemstart kümmern sich die Skripte der Ramdisk um die Abfrage des vergebenen Passworts, das der Anwender bei der Installation definiert hat. Erst dann können die verschlüsselten Partitionen gemountet werden. Gut geeignet ist diese Methode für Notebooks, bei denen immer das Risiko besteht, dass das Gerät und damit die gespeicherten Daten abhanden kommen.

Komplett verschlüsselt unter Ubuntu und Co: Der grafische Installer bietet seit Version 12.10 diese Option, um mit Cryptsetup-LUKS eine Partition anzulegen, die wiederum logische Volumes enthält

David Wolski

Komplett verschlüsselt unter Ubuntu und Co: Der grafische Installer bietet seit Version 12.10 diese Option, um mit Cryptsetup-LUKS eine Partition anzulegen, die wiederum logische Volumes enthält

Das Linux Unified Key Setup

Obwohl bei der Komplettverschlüsselung mehrere unabhängige Komponenten zusammenspielen, ist LUKS eine ausgereifte und für Ubuntu- und Mint-Anwender komfortable Verschlüsselungsmethode. Sie basiert auf dem Kernel-Modul »DM-Crypt«, das Kryptografiefunktionen für beliebige, blockorientierte Geräte (Partitionen, logische Laufwerke, Container) anbietet. Die Algorithmen dazu liefert die Crypto-API des Linux-Kernels. LUKS ist eine Erweiterung, um den Verschlüsselungsalgorithmus und die Schlüsselverwaltung direkt auf dem Datenträger mit Header-Information zu speichern. Den eigentlichen Inhalt chiffriert LUKS symmetrisch mit einem automatisch erzeugten Hauptschlüssel, der mit auf dem Datenträger gespeichert wird. Dieser Hauptschlüssel ist wiederum mit einem vom Anwender frei wählbaren Passwort verschlüsselt. Als Verwaltungswerkzeug und zur Einrichtung kommt das Tool Cryptsetup zum Einsatz. Deshalb spricht man bei dieser Konstellation auch von »Cryptsetup-LUKS«. Während des Betriebs ist diese Verschlüsselung, die bei Ubuntu und seinen Ablegern standardmäßig mit dem Algorithmus AES und einer Schlüssellänge von 256 Bit erfolgt, vollkommen transparent: Man benutzt die verschlüsselte Partition genau wie eine unverschlüsselte. Die Festplattenzugriffe sind eventuell etwas langsamer, abhängig von der Cache-Größe des Festplatten-Controllers und der CPU des Computers.

LUKS-Partition in Gparted: Der Partitionierer erkennt Datenträger, die LUKS-verschlüsselt sind, und hilft somit bei der Identifikation der Partitionen über deren Gerätenamen

David Wolski

LUKS-Partition in Gparted: Der Partitionierer erkennt Datenträger, die LUKS-verschlüsselt sind, und hilft somit bei der Identifikation der Partitionen über deren Gerätenamen

Geeignete Live-Systeme für LUKS-Laufwerke

Verschlüsselung muss sicher sein, andererseits aber flexibel genug, um auf die Daten auch im Notfall noch zugreifen zu können – also wenn das System nicht mehr bootet. Bei LUKS muss nur das Passwort bekannt sein, denn der Datenträger enthält selbst alle weiteren Infos und den eigentlichen Hauptschlüssel. Trotzdem lässt sich eine LUKS-Partition nicht einfach ohne Hilfsmittel in einem beliebigen anderen Linux-System einhängen, was etwa nötig ist, um mit einem Live-System die gespeicherten Daten im Notfall zu entschlüsseln. Bei einer verschlüsselten Ubuntu-Installation lässt sich nur /boot einhängen, während der Befehl mount bei den LUKS-Partitionen nicht einmal das Dateisystem erkennt. Dies liegt bei einer verschlüsselten Ubuntu-Installation auch daran, dass der Installer der Einfachheit halber eine große Partition anlegt, in der mit Hilfe des Logical Volume Managers(LVM) mehrere logische Laufwerke untergebracht werden.

Vorausgesetzt, die Partition ist unbeschädigt und Sie kennen das Passwort, das bei der Einrichtung der Partition vergeben wurde, gelingt der Zugriff aber nach manuellen Vorbereitungen. Eine bequeme Möglichkeit bieten die bekannten Live-Systeme Knoppix und GRML. LUKS-Datenträger einzubinden funktioniert aber auch mit den Installationsmedien von Ubuntu und Linux Mint, denn auch hier sind alle benötigten Programmpakete vorhanden, da sie vom Installer benötigt werden. Dabei spielt es keine Rolle, ob man ein Live-System in der 32-Bit- oder 64-Variante nutzt.

Entschlüsseln mit Live-System: Beim ersten Zugriff auf die LUKS-Partition verlangt cryptsetup das Passwort

David Wolski

Entschlüsseln mit Live-System: Beim ersten Zugriff auf die LUKS-Partition verlangt cryptsetup das Passwort

Zugriff auf ein verschlüsseltes Ubuntu

Zuerst muss das Kernel-Modul dm-crypt zum Öffnen verschlüsselter Datenträger geladen sein, was Sie in einem Terminal-Fenster mit folgendem Kommando erledigen:

sudo modprobe dm-crypt

Im nächsten Schritt finden Sie heraus, welchen Gerätenamen die LUKS-Partitionen auf der Festplatte haben. Dies geht am einfachsten mit dem grafischen Partitionierer Gparted, den Sie mit sudo gparted mit root-Rechten aufrufen. Das Programm ist bei Knoppix, GRML, aber auch bei den Installationsmedien von Ubuntu und Mint enthalten. Die LUKS-Partition erkennen Sie in Gparted am angezeigten Dateisystemtyp »crypt-luks«. Mit dem Tool cryptsetup bereiten Sie den Zugriff darauf vor, im folgenden Beispiel für die verschlüsselte Partition /dev/sda5:

sudo cryptsetup luksOpen /dev/sda5crypt1

Der Befehl fragt dann anschließend das Passwort für den Hauptschlüssel ab, der die verschlüsselte Partition schließlich öffnet. Erst nach dessen Eingabe sind auch die logischen Laufwerke innerhalb dieser Partition zugänglich. Im Fall von verschlüsselten Ubuntu-Systemen liegen in der Partition mehrere logische Volumes, für die der Logical Volume Manager (LVM) zuständig ist. Mit folgendem Befehl weisen Sie LVM an, alle Volumen auf der Partition aufzulisten:

sudo vgscan --mknodes

Der Befehl gibt nun den Namen der Volumes auf der LUKS-Partition aus. Diese Namen brauchen Sie gleich im Anschluss. Bei Ubuntu heißt die bei der Installation automatisch erstellte Volumengruppe »ubuntu-vg« und enthält eine Wurzelpartition »root«. Diese mounten Sie mit den folgenden drei Befehlen:

sudo vgchange -ay
sudo mkdir /mnt/ubuntu-vg
sudo mount /dev/ubuntu-vg/root /mnt/ubuntu-vg

Die so eingehängte Partition lässt sich dann wie gewohnt unter dem angegebenen Mount-Punkt (hier /mnt/ubuntu-vg) lesen und schreiben – allerdings nur als root, um sich über die Zugriffsrechte des fremden Dateisystems hinwegzusetzen.

Dieser Artikel stammt von unserem Kooperationspartner PC-WELT.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten