Modul 8 von 16 · 📖 8 min Lesezeit · ⏱ 30 min gesamt

FUTO 08 LUKS Verschluesselung

Inhaltsverzeichnis (5 Abschnitte)

Konzepte und Hintergrund
Praktische Schritte
Häufige Fallstricke
Weiterführende Ressourcen
Wissens-Check

FUTO 08 LUKS Verschlüsselung

In diesem Modul erlernen Sie die Grundlagen der Festplattenverschlüsselung mit LUKS (Linux Unified Key Setup). Sie erfahren, wie Sie Festplatten und Partitionen sicher verschlüsseln, verwalten und in Ihr System integrieren können. Der Fokus liegt auf praktischer Anwendung und dem Verständnis der zugrundeliegenden Technologien.

Konzepte und Hintergrund

LUKS (Linux Unified Key Setup): Ein Standard für Festplattenverschlüsselung unter Linux, der die Verwaltung mehrerer Schlüssel pro Partition ermöglicht und auf dm-crypt aufsetzt.
dm-crypt: Die Kernel-Komponente, die die eigentliche Verschlüsselung auf Block-Ebene durchführt. LUKS ist eine Metadaten-Schicht, die dm-crypt nutzt.
Keyfile: Eine Datei, die einen oder mehrere Schlüssel für die LUKS-Verschlüsselung enthält. Ermöglicht automatisches Mounten ohne manuelle Passworteingabe.
Header-Backup: Eine Sicherungskopie des LUKS-Headers, die für die Wiederherstellung der Daten im Falle von Header-Beschädigung unerlässlich ist.
Performance: Die Auswirkungen der Verschlüsselung auf die Systemleistung, abhängig von der CPU, dem verwendeten Verschlüsselungsalgorithmus und der Festplattengeschwindigkeit.

Praktische Schritte

Installieren Sie cryptsetup, falls noch nicht geschehen:
```
sudo apt install cryptsetup
```
Erstellen Sie eine Partition für die Verschlüsselung, z.B. mit fdisk oder gdisk.
Initialisieren Sie die Partition mit LUKS:
```
sudo cryptsetup luksFormat /dev/sdXn
```

Öffnen Sie die verschlüsselte Partition:

sudo cryptsetup open /dev/sdXn luks_volume

Erstellen Sie ein Dateisystem auf der entschlüsselten Partition:
```
sudo mkfs.ext4 /dev/mapper/luks_volume
```
Mounten Sie das Dateisystem:
```
sudo mount /dev/mapper/luks_volume /mnt
```

Erstellen Sie ein Keyfile für automatisches Mounten:

dd if=/dev/urandom of=/etc/luks/keyfile bs=1024 count=4

Fügen Sie den Keyfile zum LUKS-Volume hinzu:

sudo cryptsetup luksAddKey /dev/sdXn /etc/luks/keyfile

Sichern Sie den LUKS-Header:

sudo dd if=/dev/sdXn of=/backup/luks_header_backup bs=512 count=2048

Konfigurieren Sie /etc/crypttab und /etc/fstab für automatisches Mounten.

Häufige Fallstricke

Vorsicht: Das Löschen des Keyfiles ohne Entfernung aus dem LUKS-Volume schwächt die Sicherheit. Verwenden Sie immer cryptsetup luksRemoveKey, um einen Schlüssel ordnungsgemäß zu entfernen.

Tipp: Für maximale Performance verwenden Sie moderne CPU-Unterstützung für Verschlüsselung (AES-NI) und wählen Sie den Cipher-Modus aes-xts-plain64 mit ausreichender Schlüssellänge (mindestens 256 Bit).

Weiterführende Ressourcen

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Was ist der Hauptunterschied zwischen LUKS und dm-crypt?

A) LUKS ist nur für SSDs, dm-crypt für HDDs
B) LUKS ist eine Metadaten-Schicht, die dm-crypt nutzt
C) dm-crypt unterstützt nur einfache Verschlüsselung, LUKS unterstützt mehrere Schlüssel
D) LUKS ist proprietär, dm-crypt ist Open Source

Richtige Antwort: B. LUKS ist eine Metadaten-Schicht, die auf dm-crypt aufsetzt und zusätzliche Funktionen wie Schlüsselverwaltung bietet. A ist falsch, da beide Technologien für alle Festplattentypen funktionieren. C ist unvollständig, da dm-crypt ebenfalls mehrere Schlüssel unterstützen kann, aber ohne die einfache Verwaltung von LUKS. D ist falsch, da beide Open-Source-Technologien sind.

Welcher Befehl initialisiert eine Partition mit LUKS-Verschlüsselung?

A) sudo cryptsetup luksFormat /dev/sdXn
B) sudo cryptsetup encrypt /dev/sdXn
C) sudo luksFormat /dev/sdXn
D) sudo cryptsetup setup /dev/sdXn

Richtige Antwort: A. Der korrekte Befehl ist 'sudo cryptsetup luksFormat /dev/sdXn', um eine Partition mit LUKS zu initialisieren. B ist falsch, da es keinen 'encrypt'-Befehl im cryptsetup-Tool gibt. C ist falsch, da 'luksFormat' kein eigenständiges Kommando ist, sondern Teil von cryptsetup. D ist falsch, da der korrekte Befehl 'luksFormat' lautet, nicht 'setup'.

Warum ist ein Header-Backup bei LUKS-Verschlüsselung wichtig?

A) Er verbessert die Performance der verschlüsselten Partition
B) Er ermöglicht die Wiederherstellung der Daten bei Header-Beschädigung
C) Er enthält die Passwörter für den Zugriff auf die Partition
D) Er ist erforderlich, um zusätzliche Schlüssel hinzuzufügen

Richtige Antwort: B. Ein Header-Backup ist wichtig, um die Daten bei Beschädigung des LUKS-Headers wiederherstellen zu können. A ist falsch, da der Header-Performance nichts zu tun hat. C ist falsch, da der Header keine Passwörter enthält, sondern Metadaten über die Verschlüsselung. D ist falsch, da das Hinzufügen von Schlüsseln ohne Header-Backup möglich ist.

Was ist der Zweck eines Keyfiles in der LUKS-Verschlüsselung?

A) Er erhöht die Sicherheit durch zusätzliche Verschlüsselungsebene
B) Er ermöglicht automatisches Mounten ohne manuelle Passworteingabe
C) Er speichert die Metadaten für das Dateisystem
D) Er dient als Backup für den LUKS-Header

Richtige Antwort: B. Ein Keyfile ermöglicht automatisches Mounten, da es den Schlüssel enthält und ohne manuelle Eingabe verwendet werden kann. A ist falsch, da ein Keyfile nicht die Sicherheit erhöht, sondern nur den Zugriff vereinfacht. C ist falsch, da Metadaten im LUKS-Header gespeichert werden, nicht im Keyfile. D ist falsch, da ein Keyfile kein Header-Backup ist, sondern nur einen Zugriffsschlüssel enthält.