HowTo: Verschlüsselung mit Linux und Windows

[h4XX0r-7]

Nach langer Zeit des Haderns, schreibe ich jetzt auch mein zweites Text-Tutorial.

Diesmal geht es darum, wie man seine Festplatte verschlüsselt und dabei ein duales System mit bsplw. Linux und Windows verwendet. In diesem Tutorial wird angenommen, dass der Leser nur eine (1) Festplatte für seine Betriebssysteme hat (so bei mir auf dem Laptop der Fall).

Mir ist bewusst, dass BuntspechT vor einiger Zeit ein ähnliches Tutorial geschrieben hat, jedoch möchte ich nicht GRUB als erstes starten, sondern den Bootloader von TrueCrypt. Ich finde, dass dieser einige Vorzüge bietet, wie etwa den "Silent Mode", bei dem lediglich eine einzige Meldung auf dem Bildschirm ausgegeben wird und der danach wie "eingefroren" erscheint.

Zunächst partitioniert man die Festplatte nach folgendem Muster:

• Festplatte 0, Partition 1 = Windows (100MB-Partition)
  
  • /dev/sda1
  
  
• Festplatte 0, Partition 2 = Windows
  
  • /dev/sda2
  
  
• Festplatte 0, Partition 3 = Linux (/boot)
  
  • /dev/sda3
  
  
• Festplatte 0, Partition 4 = Linux (/)
  
  • /dev/sda4
  
  

Die Reihenfolge der Installation ist relativ egal, ich werde nun zunächst davon ausgehen, dass man Windows installiert. Hier brauch man keine besonderen Einstellungen vornehmen und kann dann nach der Installation TrueCrypts mit der Verschlüsselung beginnen.

1. Installation von Windows:

Wichtig ist, dass man angibt, nur die Windows-Partition zu verschlüsseln und dass es ein "Single-boot"-System ist, obwohl eigentlich das genaue Gegentei der Fall sein wird. Ab dieser Stelle ist es einfacher, wenn man die Option des "Silent Modes" zunächst deaktiviert lässt.

Wir wählen unser Passwort, brennen nun die Sicherheits-CD, deren Abbild uns TrueCrypt erstellt und starten dann den Rechner neu um zu überprüfen, ob alles bis hierhin funktioniert.

Nach dem Neustart solltet ihr eine kleine Eingabemaske sehen, in der ihr euer Passwort eingebt. Windows sollte nach Eingabe des richtigen Passworts nun automatisch starten. (Anm.: Falls ihr immer und immer wieder das falsche Passwort habt, kann es daran liegen, dass ihr Zeichen benutzt, die auf einem amerikanischen Tastaturlayout, dass von TrueCrypt im Bootloader benutzt wird, nicht vorhanden sind (Beispiel: §). Buchstaben wie y und z oder Sonderzeichen wie +,-,!,", / sind jedoch weiterhin auf den entsprechenden Tasten. Sofern ihr dieses Problem habt, drückt Escape um zu booten und startet die Verschlüsselung erneut um ein anderes Passwort zu benutzen.)

Nachdem ihr euch unter Windows angemeldet habt, könnt ihr TrueCrypt dann in Ruhe verschlüsseln lassen und euch währenddessen dem echten Leben widmen. *YAY*

Anschließend kann der Rechner neu gestartet werden und wir booten nun von der CD/DVD, von der wir Linux installieren werden.

2. Installation von Linux:

Bevor wir jedoch mit irgendetwas anfangen, werden wir einige Module laden müssen, sofern das nicht ab Werk geschieht. Dies ist eventuell auch unter Distributionen notwendig, die sofort eine GUI laden und das Installationsprogramm starten. In diesem Fall müsst ihr eine Shell öffnen oder per Alt+F1 in das dritte Runlevel wechseln.

Nun melden wir uns als root an (meist ist kein Passwort oder "toor" als Passwort vergeben). Jetzt können wir die entsprechenden Module laden:

Code:

modprobe dm-crypt
modprobe aes-i586

Der letzte Befehl ist unter Umständen nicht zwingend notwendig. Falls es keine Rückmeldung gibt, hat alles funktioniert und wir können mit der Verschlüsselung fortfahren. (Unter Linux verschlüsseln wir erst die Platte, öffnen sie dann und installieren das System erst danach hinein!)

Wir verschlüsseln die 4. Partition auf der ersten Festplatte, die unser Wurzelverzeichnis (/) enthalten soll:

Code:

cryptsetup -c aes-xts-plain -y -s 512 luksFormat  /dev/sda4

Variationen dieses Befehls kann man mittels des Hilfe-Parameters nachschlagen.
Anschließend erscheint die Abfrage des Passworts, welches man benutzen will. Der Parameter -y bewirkt, dass die Eingabe des Passworts erneut getätigt werden muss um dieses zu bestätigen.

Jetzt können wir unsere verschlüsselte Partition schon öffnen, damit wir gleich damit arbeiten können. Dafür benutzen wir folgenden Befehl:

Code:

cryptsetup luksOpen /dev/sda4 lvm

Um nachzusehen, ob alles richtig eingebunden wurde, können wir mittels

Code:

ls /dev/mapper

überprüfen, ob lvm eingebunden wurde.

Um mit dieser Platte nun arbeiten zu können, müssen wir LVM einrichten und eine Volumengruppe erstellen. Dies machen wir folgendermaßen:

Code:

pvcreate /dev/mapper/lvm
vgcreate main /dev/mapper/lvm

Letzterer Befehl erzeugt die Volumengruppe, wobei wir "main" jedoch mit etwas anderem ersetzen können. Dies wird dann unser Name, der, falls wir eine Partition in dieser Volumengruppe "root" nennen, dann "main-root" lauten wird.

Nun können wir getrost mit der Partitionierung der Partitionen innerhalb von "main" anfangen. Dies erreichen wir mit einem der folgenden Befehle:

• lvcreate -L 120G -n root main
  
  • Partition der Größe 120 Gigabyte, benannt als root in der Gruppe "main"
  
  
• lvcreate -l 100%FREE -n root main
  
  • Partition belegt den kompletten freien Speicher innerhalb der Gruppe "main", benannt als "root"
  
  

Dies führt man beliebig oft durch, bis man die gewünschte Anzahl der verschlüsselten Partitionen hat. (Unter Umständen möchten manche Benutzer nicht auf eine Swap-Partition oder getrennte /home,/tmp,etc. verzichten.)

Jetzt können wir wieder in's eigentliche Installationsprogramm wechseln (Alt+F7) oder es erstmals starten.

Die Partitionen /dev/sda1 und /dev/sda2 können wir unbeachtet lassen, da diese nur Windows-Müll beinhalten.
Unter /dev/sda3 erstellen wir ein Dateisystem unserer Wahl (ext4 hört sich doch gut an) und wechseln dann zu unseren Partition in unserer Gruppe auf der verschlüsselten Partition unter /dev/mapper/lvm.

WICHTIG: Die Partitionen /dev/sda4 und /dev/mapper/lvm bleiben absolut unverändert!

Sofern eine GUI zur Installation verwendet wird, sollte klar sein, wohin man was installiert. Für diejenigen, die die textbasierte Installation bevorzugen: Das Verzeichnis / gehört in /dev/mapper/main-root, das Verzeichnis /home beispielsweise in /dev/mapper/main-home (/dev/mapper/GRUPPE-VERZEICHNIS).

Nun könnt ihr mit der Installation des Systems beginnen und euch währenddessen erneut am echten Leben erfreuen.

3. Anpassung wichtiger Dateien:

Nun müssen wir noch einige Dateien anpassen, da es sonst Komplikationen gibt und das System andernfalls nicht starten würde. Setzt dazu in der /etc/rc.conf den Wert USELVM="yes", fügt in der /etc/mkinitcpio.conf "usb usbinput keymap encrypt lvm2" zu den Hooks dazu. Achtet darauf, dass alles vor filesystems steht. (Die Parameter usb und usbinput sind optional und nur notwendig, wenn ein Passwort über eine USB-Tastatur eingegeben werden soll. Der Paramter keymap bewirkt, dass wir bei der Passworteingabe ein deutsches Tastaturlayout benutzen, sofern dieses aktiviert wurde.)

Ich bin mir hier nicht ganz sicher, ob das Problem mit bestimmten Sonderzeichen (§, etc.) hier auch vorliegt.

Nach Abschluß der Installation müssen wir noch die /boot/grub/menu.lst anpassen, damit wir die Daten von der verschlüsselten Platte laden können. Fügt dazu einfach cryptdevice=/dev/sda4:main zwischen /vmlinuz26 und root=/dev/mapper/main-root ein. Danach sollte eure Kernelzeile wie folgt aussehen:

Code:

kernel /vmlinuz26 cryptdevice=/dev/sda4:main root=/dev/mapper/main-root ro

(Den Eintrag für Windows könnte man gleich mit auskommentieren.)

Falls während der Installation gefragt wird, in welches Verzeichnis GRUB installiert werden soll, wählt einfach /dev/sda aus, da dies unter bestimmten Systemen der Standard ist und diese Anleitung auch dies berücksichtigt.

4. Wiederherstellung des TrueCrypt Bootloaders und Verschiebung des GRUB

Nun wird der Rechner neu gestartet und es sollte GRUB statt dem TrueCrypt Bootlader zum Vorschein kommen. Bootet nun Linux, gebt euer Passwort ein und ihr solltet vor eurer Anmeldemaske stehen, sofern ihr alles richtig gemacht habt. Jetzt wird nur noch GRUB auf /dev/sda3 verschoben. Zuerst öffnen wir unsere verschlüsselte Partition, suchen nach LVM und aktivieren sie. Dies geschieht mittels folgender Befehle:

Code:

cryptsetup luksOpen /dev/sda4 lvm
vgscan -ay
vgchange

Jetzt mounten wir alles und installieren GRUB auf /dev/sda3 neu:

Code:

mount /dev/mapper/main-root /mnt
mount /dev/sda3 /mnt/boot
grub-install --root-directory=/mnt /dev/sda3

Nun können wir alle Verzeichnisse wieder aushängen (umount DIR) und den Computer wieder neu starten. Diesmal wird von der vorhin erstellten TrueCrypt Rettungs-CD gestartet und die Option "[2] Restore TrueCrypt Boot Loader" ausgewählt. Anschließend kann der Rechner neu gestartet werden und von der Festplatte gebootet werden.
Falls bis hierhin alles richtig gemacht wurde, kann man jetzt den TrueCrypt Bootloader sehen. Jetzt muss Escape gedrückt werden und anschließen die Zahl, mit der wir auf die Partition von Linux zugreifen. Falls man sich diese merken kann, kann man nun auch unter Windows die Option "Silent Mode" aktivieren, doch sollte man immer im Hinterkopf behalten, dass rein gar nichts mehr angezeigt wird!

Das System ist nun komplett verschlüsselt und funktionsfähig.
Rückmeldungen und Kritik sind in ordentlicher Form gerne gesehen und erwünscht!

Mit besten Grüßen,
h4XX0r-7