Gr\u00fcnde zum Verschl\u00fcsseln der Festplatte gibt es viele. Ist man zum Beispiel viel mit dem Laptop unterwegs, ist Verschl\u00fcsselung praktisch der einzig sichere Weg, um die Daten gegen Zugriff zu sch\u00fctzen. Dadurch werden nicht nur vertrauliche Dokumente, sondern auch die pers\u00f6nlichen Informationen (z.B. E-Mail, besuchte Webseiten, ICQ History, …) zuverl\u00e4ssig gesch\u00fctzt.
\n\n<\/p>\n
In der Zwischenzeit gibt es eine ganze Menge von Alternativen f\u00fcr Linux (dieser Artikel besch\u00e4ftigt sich nur mit Linux, andere Betriebssysteme folgen evtl. sp\u00e4ter).<\/p>\n
Zwei Kandidaten scheiden hier bereits von vorneherein aus: encfs<\/a> und Truecrypt<\/a>. Ersteres habe ich nicht n\u00e4her untersucht, da es statt dem darunter liegendem Block-Device nur die Dateien\/Dateinamen verschl\u00fcsselt. Letzteres ist sehr vielversprechend, kann jedoch unter Linux keine neuen Container anlegen. Sicherlich wird dies in einer sp\u00e4teren Version nachgereicht, so da\u00df es dann erst richtig unter Linux interessant wird.<\/p>\n cryptoloop<\/strong> dm-crypt<\/strong>
\nCryptoloop ist schon seit l\u00e4ngerem verf\u00fcgbar. In der Zwischenzeit ist es auch recht gut in die kommerziellen Linux-Distributionen integriert. So bietet zum Beispiel SuSE-Linux schon seit einigen Versionen die M\u00f6glichkeit, direkt bei der Installation Partitionen damit verschl\u00fcsselt anzulegen (mit twofish als Verschl\u00fcsselungsalgorithmus). Insgesamt sind eine Reihe von verschiedenen Verschl\u00fcsselungsalgorithmen verf\u00fcgbar (twofish, AES, DES, …). Leider hat cryptoloop ein wesentliches Problem: Es ist anf\u00e4llig f\u00fcr Watermarking. Eine gute Zusammenfassung zu dieser Problematik ist z.B. auf der Webseite von Markus Reichelt<\/a> zu finden. Das Problem ist verwandt mit den Problemen der WEP-Verschl\u00fcsselung bei WLAN: Der Initialisierungsvektor f\u00fcr die Verschl\u00fcsselung wird ung\u00fcnstig gew\u00e4hlt, so da\u00df man Dateien auf dem verschl\u00fcsselten Volume erzeugen kann, die man auch ohne Kenntnis des Schl\u00fcssels auf dem Laufwerk nachweisen kann.\n<\/p>\n
\nDm-crypt arbeitet daran, der neue Standard f\u00fcr Festplattenverschl\u00fcsselung zu werden. Der verwendete Device-Mapper-Ansatz bietet einen wesentlichen Vorteil gegen\u00fcber cryptoloop und loop-aes: Man kann eine beliebige Anzahl von verschl\u00fcsselten Ger\u00e4ten anlegen (cryptoloop und loop-aes k\u00f6nnen maximal 8 Ger\u00e4te verschl\u00fcsseln). Auch die Schl\u00fcsselverwaltung wird hier anders geregelt: der Schl\u00fcssel f\u00fcr die Festplatte befindet sich verschl\u00fcsselt auf der verschl\u00fcsselten Partition, so da\u00df hier keine weiteren externen Schl\u00fcsseldateien notwendig sind (die Erweiterung daf\u00fcr hei\u00dft LUKS). Bei meinen Versuchen unter SuSE 9.3 (2.6.11-21a) hat sich auch dm-crypt anf\u00e4llig f\u00fcr Watermarking erwiesen — auch wenn der Fehler schon seit Kernel 2.6.10 nur noch abgeschw\u00e4cht h\u00e4tte vorhanden sein sollen. Eine wirklich sichere Initialisierung des IV wird in dm-crypt vermutlich nie implementiert werden: Der Autor von dm-crypt konnte sich auf der Kernel-Mailing-Liste nicht mit den daf\u00fcr n\u00f6tigen \u00c4nderungen am Kernel durchsetzen (sein Frust ist verst\u00e4ndlich, nachdem er den entsprechenden Patch ca. dreimal neu schreiben mu\u00dfte, weil es den hohen Anspr\u00fcchen nicht gen\u00fcgt hatte).\n<\/p>\n