Anlegen eines verschlüsselten Datenträgers

manual steps / manuelle Einrichtung

Here, the USB-Device is named /dev/sda1 / Wenn man die Schritte manuell eingeben will, dann gehts hier los: verschlüsselter USB-Speicherstick mit LUKS. Bei mir ist der Stick das Gerät /dev/sda1 (unverschlüsselt), der Name des verschlüsselten Dateisystems für den mapper sei "stick".

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sda1

Since kernel 2.6.20 you can alternatively use / Ab Kernelversion 2.6.20 kann alternativ LRW benutzt werden:

sudo cryptsetup -c aes-lrw-benbi -y -s 384 luksFormat /dev/sda1

Open the container / Den Container/Datenträger öffnen:

sudo cryptsetup luksOpen /dev/sda1 stick

Create fat32 / Das Dateisystem fat32 anlegen (damit alle Betriebssysteme schreibunterstützung haben):

mkfs.vfat -n "sicher" /dev/mapper/stick

and mount it / Das Dateisystem mounten:

sudo mount -t vfat /dev/mapper/stick /media/stick/

Adopt the key (copying, renames, ...) / Änderungen vornehmen (Dateien kopieren, ändern, …)

Add passwords / Paßwörter hinzufügen / entfernen

Passwörter hinzufügen: Man sollte den aktuellen Schlüssel noch mindestens einmal hinzufügen (als kleine Sicherheit gegen Lesefehler genau an der Stelle wo die Schlüssel als Hash gespeichert werden):

sudo cryptsetup luksAddKey /dev/sda1

Enter any existing LUKS password: aktuelles Passwort

Zuerst muss man eins der Passwörter angeben

key slot 0 unlocked.

The password was accepted / Das Passwort wurde akzeptiert.

Enter new password for key slot: new passowrd / neues Passwort

Remove passwords / Paßwörter entfernen: Falls einmal ein Paßwort bekannt wird oder routinemäßig geändert werden soll ist eine Neuverschlüsselung des Datenträgers notwendig. Man kann den entsprechenden Schlüssel ("Key Slot") selektiv löschen:

sudo cryptsetup luksDelKey /dev/sda1 1

Password removed. / Im Beispiel wird der KeySlot 1 auf der Partition /dev/sda1 gelöscht.