This is an old revision of the document!

Wenn es Ihnen mit der Sicherheit Ihrer Daten ernst ist, ist es keine schlechte Idee, Ihre Festplatte zu verschlüsseln. Für die Kosten einer zusätzlichen Passworteingabe beim Start können Sie sicher sein, dass niemand an Ihre Daten herankommt, selbst wenn er Ihr Gerät stiehlt. Sowohl unter Windows als auch unter Linux gibt es Möglichkeiten zur vollständigen Festplattenverschlüsselung.

Seit einigen Jahren bietet der Ubuntu-Installationsassistent die Möglichkeit, Ihre Installation durch Ankreuzen eines Kästchens zu verschlüsseln. Einfach und mühelos.

Nun ja, fast mühelos.

Mit dem Aufkommen von Solid-State-Laufwerken enthalten die meisten modernen Computer mindestens zwei Festplatten - eine SSD für die Installation des Betriebssystems, damit Sie eine schnelle Startzeit haben, und eine HDD für die Speicherung der meisten Dateien, da große (>256 GB) SSDs für die meisten Leute immer noch unpraktisch teuer sind.

Sie sehen also wahrscheinlich, wo das Problem liegt. Sicher, das Ubuntu-Installationsprogramm erlaubt es Ihnen, Ihre Installation zu verschlüsseln, aber wenn sich diese auf Ihrer SSD befindet, bleibt Ihre Festplatte (mit dem Großteil Ihres Speicherplatzes) unverschlüsselt. Nicht gerade ideal.2

Zum Glück gibt es eine Möglichkeit, Ihr zusätzliches Laufwerk nach der Installation zu verschlüsseln, und ein paar Tricks, die dafür sorgen, dass es genauso reibungslos funktioniert, als hätten Sie es von Anfang an getan.3 So geht's:

Wenn Sie es noch nicht getan haben, installieren Sie gparted (ein beliebtes Linux-Programm zur grafischen Formatierung von Festplatten und zur Bearbeitung von Partitionen). Öffnen Sie GParted und löschen Sie alle Partitionen auf der Festplatte, die Sie verschlüsseln möchten (stellen Sie sicher, dass sie vorher leer ist!). Erstellen Sie dann eine unformatierte Partition anstelle der soeben zerstörten.

Aufgrund der potenziell gefährlichen Natur der GParted-Operationen müssen Sie auf “Übernehmen” klicken, nachdem Sie das Programm angewiesen haben, das zu tun, was Sie wollen, um die Zerstörung und Erstellung der Partition physisch durchzuführen. Hier gibt es (zum Glück) keine Ein-Klick-Formatierung.

Sobald das erledigt ist, ist es an der Zeit, die Partition zu verschlüsseln. Öffnen Sie dazu ein Terminal und führen Sie LUKS cryptsetup aus (ersetzen Sie sd?X durch den Namen der verschlüsselten Alle notwendigen Programme sollten bereits installiert sein, wenn Sie ein Standard-Ubuntu verwenden.

sudo cryptsetup -y -v luksFormat /dev/sd?X

Dann müssen Sie die neue Partition entschlüsseln, damit Sie sie mit ext4 formatieren können, dem von Ubuntu bevorzugten modernen Linux-Dateisystem.

sudo cryptsetup luksOpen /dev/sd?X sd?X_crypt
sudo mkfs.ext4 /dev/mapper/sd?X_crypt

Nun können Sie Ihre neue verschlüsselte Partition einhängen. Der Einhängepunkt kann überall sein, wo Sie wollen, aber Sie werden ihn wahrscheinlich entweder in /media/<irgendein-Ordner> oder /home/<Ihr-Name>/<irgendein-Ordner> setzen wollen. Vor dem Einhängen müssen Sie den Ordner some-folder erstellen (stellen Sie sicher, dass er leer ist!).

sudo mount /dev/mapper/sd?X_crypt /<mount-point>

Technisch gesehen ist dies alles, was Sie für die Verschlüsselung Ihrer zweiten Festplatte benötigen. Das bedeutet nur, dass Sie sie jedes Mal manuell einhängen und entschlüsseln müssen, wenn Sie sie benutzen wollen. Wenn Sie sie zum Speichern sensibler, selten genutzter Daten verwenden, mag das perfekt sein.

Wenn Sie es jedoch als reguläre Festplatte verwenden möchten, auf die häufig zugegriffen wird, gibt es eine Möglichkeit, Ihr zweites Laufwerk beim Start automatisch einzubinden und zu entschlüsseln, wenn Ihre primäre Festplatte entschlüsselt ist.

Zunächst müssen Sie eine Schlüsseldatei erstellen, die als Passwort dient, das Sie nicht bei jedem Start eingeben müssen (wie das Passwort für die Verschlüsselung der primären Festplatte).

sudo dd if=/dev/urandom of=/root/.keyfile bs=1024 count=4
sudo chmod 0400 /root/.keyfile
sudo cryptsetup luksAddKey /dev/sd?X /root/.keyfile