Festplatten verschlüsselt mit Linux und Windows nutzen

Aus Linupedia.org
Version vom 10. Mai 2007, 08:02 Uhr von Yehudi (Diskussion | Beiträge) (Schlußbemerkung: Kat Nav)
Wechseln zu: Navigation, Suche

Fertig installiertes Dual Boot System mit Platz der folgenden Art

Voraussetzungen

  • Platz der folgenden Art
  • leere zu verschlüsselnde Partition
  • leere Platte
  • leerer Platz auf einer ext2/ext3 Partition

Festplatte partitionieren falls nicht erledigt

Falls die Platte noch nicht partitioniert sein sollte, sollte das vorher erledigt werden. Entweder in Windows mit dem Volume Manager unter Systemsteuerung->Verwaltung->Computerverwaltung->Datenspeicher->Datenträgerverwaltung oder unter bei Suse unter Yast->System->Partitionieren. Bitte vorher schlau machen, dieses HowTo ist nicht primär für das Erlernen des Partitionierens, sondern für das Verschlüsseln und den gemeinsamen Zugriff.

Truecrypt unter Windows installieren

Windows booten, Truecrypt für Windows (Installer) http://www.truecrypt.org runterladen und installieren. Dafür muss man Admin sein, wenn es erstmal installiert ist, benötigt Truecrypt keine Adminrechte mehr, weder zum Mounten/Unmounten, noch zum schreiben/lesen. Die Installation erfolgt auf bekannte Art und Weise.

http://img376.imageshack.us/img376/5777/wintcinstallib5.th.png http://img376.imageshack.us/img376/7721/wintcoz8.th.png

ext2 IFS unter Windows installieren

ext2IFS von http://www.fs-driver.org/ runterladen und installieren. Dieser Treiber bietet Zugriff auf ext2/ext3 Laufwerke, sowohl schreibend als auch lesend. Dateien größer 4GB werden unterstützt, damit wäre der Riesenvorteil (von Journaling mal abgesehen) gegenüber FAT32 genannt. Falls im Rechner schon ext2/ext3 Laufwerke sein sollten, kann jetzt schon im Windows Control Panel /Systemsteuerung ein Laufwerksbuchstabe dafür vergeben werden. Danach lässt sich auf das Laufwerk ganz normal zugreifen, keine weiteren Tools sind mehr nötig um zu lesen oder zu kopieren.

Truecrypt unter Linux installieren

Linux booten, Truecrypt für Linux (Sourcecode) www.truecrypt.org runterladen und entpacken. Rootshell öffnen (Konsole aufmachen, 'su' eingeben um root zu werden), in das Verzeichnis wechseln wo wir truecrypt entpackt haben und ins Unterverzeichnis Linux wechseln. Dort

./build.sh 

und

./install.sh

ausführen und die Fragen beantwortet. Eigentlich sind alle Fragen in der default-Einstellung zu lassen, außer der ob auch ein nicht-Admin truecrypt ausführen darf. Diese sollte mit ja beantwortet werden, sonst kann später nur root Laufwerke mounten.

HINWEIS: Wenn selber kompiliert wird, kann das seeehr lange dauern. 20Minuten sind keine Seltenheit. NICHT glauben da ist was schiefgelaufen. Als Hausnummer: mein AthlonXP2800+ brauchte ca. 10-15 Minuten. Auf einem 800er Pentium kann sich das schon ein Weilchen ziehen.


Damit wäre die Vorbereitung abgeschlossen, es sollten bis hierher keine Fehler aufgetreten sein. Als nächstes folgt die Laufwerkserstellung. Wer graphische Erstellung vorzieht kann das unter Windows machen, alternativ ist es unter Linux möglich. Letztendlich muss jedoch unter Linux formatiert werden, weil Windows kein ext2/ext3 formatieren kann.

Laufwerkerstellung unter Windows

Truecrypt starten. Unter Volume->Create Truecrypt Volume den Einrichtungsassistenten starten. Art des Volume auswählen. Hier entscheidet sich was wir wollen.

  • Eine Partition auswählen, die später zu einem verschlüsselten Laufwerk werden soll
  • Eine Datei auf einem ext2/ext3 Laufwerk erstellen, die ein verschlüsseltes Laufwerk enthalten soll

Je nach Wunsch jetzt eine Partition oder Datei auswählen und auf weiter gehen. Kein (!) Dateisystem auswählen, kostet nur Zeit und wir machen es eh neu. Wenn alles fertig ist, sollte es so aussehen (Dies ist eine Installation in einer virtuellen Maschine (VM), daher das kleine Volume)

http://img374.imageshack.us/img374/1750/wintcvolumemenuwl5.th.png http://img374.imageshack.us/img374/4080/wintccreationwizardrq9.th.png http://img389.imageshack.us/img389/9696/wintccreationwizard2iw3.th.png http://img389.imageshack.us/img389/8373/wintcvolformatib6.th.png http://img374.imageshack.us/img374/9116/wintcvolformatprogressvq2.th.png

Laufwerkerstellung unter Linux

Laufwerkserstellung erfolgt mit dem Flag '-c' für create

truecrypt -c

Bei der Option 'Enter file or device name for new volume:' wird entweder der Pfad der Containerdatei oder der Pfad des Laufwerks angegeben. z.B. /dev/hda2 bzw. /dev/sdb1 bzw. /home/xyz/container.tc

http://img460.imageshack.us/img460/5928/linvolcreationlinuxlu2.th.png

Formatieren unter Linux

mit

truecrypt -l

kann jederzeit angezeigt werden, welche Laufwerke gerade gemappt sind. Das Mappen/Mounten erfolgt mit Truecrypt in zwei Schritten. Zuerst wird der Container nach Eingabe des Passworts gemapped, d.h. das Volume ist über /dev/mapper/truecrypt0 ansprechbar. Dann muss es noch ins Dateisystem eingebunden werden (mount). Dieser Schritt kann aber von truecrypt übernommen werden, doch dazu später mehr. Erstmal mappen wir das Laufwerk mit

truecrypt /hier/kommt/der/container-bzw-device-pfad/hin 

Unter

truecrypt -l 

müsste es dann auftauchen. Jetzt muss es nur noch formatiert werden und wir sind fertig. Dies passiert mit

mke2fs -j /dev/mapper/truecrypt0

Root Rechte sind erforderlich!

Ein letzter Test bevor wir den Windows Mount probieren:

Wir unmappen das Volume und hängen es gleich wieder komplett ein.

truecrypt -d
truecrypt /hier/kommt/der/volumepfad/hin /hier/kommt/der/zielpfad/zum/einhängen/sprich/leerer/ordnder/hin 

Mit

truecrypt -l

kann man sich wieder überzeugen, dass das mapping wieder geklappt hat. Ob mount funktioniert hat, merkt man daran, dass der Zielordner plötzlich ein lost+found enthält.

http://img465.imageshack.us/img465/2872/linvolmountdismounttx4.th.png

Fertig! Jetzt müsste im Zielpfad das neue ext3 Volume eingehängt sein. Testweise mal nen neuen Ordner drin erstellen. Falls ihr GNOME laufen habt, kann man auch in der Systemüberwachung unter Geräte das Volume sehen. Für das Betriebsystem und alle Anwendungen ist das transparent, also kein Unterschied zu all den anderen Laufwerken. Jetzt wieder alles aushängen und Windows booten.

Mount unter Windows mit Device Laufwerk

Windows booten und Truecrypt starten. Device und Laufwerksbuchstaben auswählen und mounten. Falls der Explorer noch meldet, dass das Laufwerk noch nicht formatiert sei starten wir in der Systemsteuerung den ext2IFS. Wenn das Icon noch nicht in der Systemsteuerung ist, ext2IFS noch einmal installieren (Wenn ext2IFS bei der Installation keine Linux Laufwerke findet, installiert es kein Icon in der Systemsteuerung). Bei mir hat es einwandfrei geklappt, falls es Probleme geben sollte bitte im Forum nachfragen.

http://img147.imageshack.us/img147/945/wintcselectfilejf5.th.png http://img456.imageshack.us/img456/434/winpasswordzo3.th.png http://img389.imageshack.us/img389/632/winmountedqp0.th.png http://img389.imageshack.us/img389/2719/winexploreral0.th.png

Mount unter Windows mit Container Laufwerk

Wenn der Container auf einer ext2/ext3 Platte liegen sollte, muss diese erstmal einen Buchstaben bekommen, bevor Truecrypt mounten kann. Also in der Systemsteuerung ext2IFS ausführen und Buchstaben zuweisen. Dann Truecrypt starten und auf dem ext2/ext3 Laufwerk den Container auswählen und mounten. Wenn der Container auf einer NTFS Platte liegt habt ihr was falsch verstanden, das wollten wir gerade nicht. Wenn er auf ner Fat32 Platte liegt kann er maximal 4GB haben, auch ziemlich uncool. Also entweder auf ner ext2/ext3 Platte, oder direkt als Device.

http://img147.imageshack.us/img147/945/wintcselectfilejf5.th.png http://img456.imageshack.us/img456/434/winpasswordzo3.th.png http://img389.imageshack.us/img389/632/winmountedqp0.th.png http://img389.imageshack.us/img389/2719/winexploreral0.th.png

Mount unter Linux mit Device Laufwerk

Linux booten und mit

truecrypt /dev/hdxy /pfad/zum/einhängen

device mappen und mounten.

http://img465.imageshack.us/img465/2872/linvolmountdismounttx4.th.png http://img391.imageshack.us/img391/8959/lingnomesystemueberwachungcq2.th.png

Mount unter Linux mit Container Laufwerk

Linux booten und mit

truecrypt /pfad/zum/container /pfad/zum/einhängen

container mappen und mounten.

http://img465.imageshack.us/img465/2872/linvolmountdismounttx4.th.png http://img391.imageshack.us/img391/8959/lingnomesystemueberwachungcq2.th.png

Schlußbemerkung

Jetzt müsstet ihr unter Windows im Explorer ein neues Laufwerk haben, mit dem Buchstaben, den ihr in Truecrypt eingestellt habt. Unter Linux findet ihr das Volume über Nautilus/Konqueror in dem Pfad wo ihr es eingehängt habt. Jetzt können sich beide Systeme ein verschlüssltes Laufwerk teilen, das mit >4GB Dateien umgehen kann und Journaling features hat. Zugriffsrechte sind supersicher, Truecrypt kann man sogar nicht durch den Ausbau der Platte und Einbau in nem anderen Rechner umgehen. Auch wenn mal Besuch von der Polizei (offenes WLAN und der Nachbar ist pädophil) kommt und alles mitnimmt, kommt keiner ran und liest auch keine eurer Mails an die scharfe Kollegin.

Das ganze ist so transparent, dass ich (wie man an den Screenshots evtl errät) unter Linux (Suse 10.1) ein ext3 Laufwerk hatte, welches mit Samba freigegeben war. Dieses Laufwerk habe ich in einer virtuellen Maschine (Windows) als Netzlaufwerk verbunden und das darauf liegende Truecrypt-Container-File mittels Truecrypt gemountet. Das gemountete Laufwerk wurde von Ext2IFS erkannt und als normales Laufwerk behandelt. Also schreibt und liest Windows in der virtuellen Maschine ein verschlüsseltes ContainerFile, das in Wirklichkeit auf einer ext3 Partition unter Linux liegt.


Zurück zur Partition
Zurück zu Security