Verschlüsselung externer Festplatte

Geschrieben von Ralph Troppmann am Montag, 18. März 2019 in Kryptographie, Projekte

Mit den bisher gewonnenen Erkenntnissen ist die Verschlüsselung einer externen Festplatte kein großes Thema mehr, für USB-Sticks gilt das gleiche.

Warum sollten externe Datenträger verschlüsselt werden?
Aus diesen Gründen: einerseits sind diese mobil und bergen damit ein größeres Risiko, vergessen oder verloren zu werden. Damit bräuchte man sich im Verlustfalle keine Sorgen über Enthüllungen oder sonstigen Missbrauch zu machen. Die Daten sind zwar immernoch weg, aber eben nicht woanders...
In Zeiten der DSGVO bleibt praktisch keine Alternative, der Verlust von Kundendaten kann sich (zurecht) zu einer unangenehmen und teuren Lehrstunde entwickeln.
Andererseits ist die Entsorgung sehr viel bequemer - einfach in den Elektronikschrott geben. Auch wenn sich ein Dumpster-Diver noch daran versuchen sollte, kommt er nicht an die Daten. Besonders beruhigend ist das, wenn der Datenträger (was bei mobilen durchaus häufiger vorkommt) den Geist aufgegeben hat. Dann ist nichts mehr mit "sicher löschen", eine sichere physikalische Zerstörung wäre dann der letzte Weg.

Damit die Daten nicht ganz weg sind, hat man natürlich (vorher!) ein entsprechendes Backup- und Redundanzkonzept umgesetzt. Dazu gelegentlich mehr.

Zurück zum Thema, eine gute Anleitung zum Verschlüsseln einer externen Festplatten gibt es hier: https://www.selbstdatenschutz.info/linux/externe_datentraeger_verschluesseln. Auch hier kommt wieder cryptsetup/luks zum Einsatz, beim Anstecken der externen Festplatte wird automatisch die Passphrase abgefragt und der Datenträger gemountet.
Die Anwendung eines Securitykeys ist genauso möglich, nach der folgenden Quelle soll der im vorhergehenden Schritt belegte Slot 2 sich auch für mehrere Anwendungen nutzen lassen: https://askubuntu.com/questions/599825/yubikey-two-factor-authentication-full-disk-encryption-via-luks. Das muss ich noch verifizieren, auf Anhieb bekomme ich es nicht hin, dass die Passphrase des Key akzeptiert wird (in der GUI wird der Key gar nicht angesprochen).

Zu dem Problem hat sich natürlich auch schon jemand Gedanken gemacht: https://blog.hannesrantzsch.de/yubikey-encrypted-drive.html, das probiere ich aber heute nicht mehr.

Ok, doch noch ausprobiert...
Funktioniert, allerdings nur auf der Commandline, dafür auch mit der Einrichtung auf Keyslot 7. So ganz rund aber auch noch noch nicht, muss ich später mal genauer testen.
Cool wäre das in Kombination mit einem Automount über udev, dann könnte man die Passphrase-Abfrage der GUI vielleicht auch unterdrücken?

Note to self: da das doch einen gewissen Umfang einnimmt, sollten die Vorgehensweisen im Wiki als Schritt-für-Schritt-Anleitung dokumentiert werden. Dazu sollten die Quellen gesichert werden und auch die aktuell verwendeten Sources. Nur so wegen der Paranoia, Webseiten gehen schon mal offline...


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Suche

Nach Einträgen suchen in Ralles personal blog:

Das Gesuchte nicht gefunden? Gib einen Kommentar in einem Eintrag ab oder nimm per E-Mail Kontakt auf!