USB-Sticks sind klein und bieten mittlerweile genug Platz für ein Backup wichtiger Dokumente, aktuelle Projekte und die liebsten Fotos. Allerdings gehen sie auch leicht verloren. Damit in diesem Fall nur der Stick weg ist und die persönlichen Daten nicht in falsche Hände geraten, verschlüssle ich meine USB-Sticks ganz einfach mit dem gnome-disk-utility.
Zumindest bei mir haben sich im Laufe der Jahre jede Menge USB-Sticks verschiedener Größe angesammelt. Für wichtige Dokumente und aktuelle Projekte habe ich mir zwei besonders kleine für den Schlüsselbund gekauft und zwar zwei Kingston DT micro mit 256 GByte aus Metall. Die stören am Schlüsselbund überhaupt nicht und bieten reichlich Platz. Und wie alle Datenträger, die ich außerhalb des Hauses mit mir herumtrage, speichere ich meine Daten darauf nur verschlüsselt. Wenn ich doch mal meinen Schlüsselbund verlieren sollte, brauche ich mir wenigstens nicht noch Sorgen machen, dass jemand fröhlich in meinen privaten Daten stöbert. Um einen Stick unter Linux zu verschlüsseln gibts mehrere Wege, ich beschreibe hier den einfachsten. Und natürlich funktioniert das auch mit einer externen Festplatte oder SSD.

Verschlüsselung unter Linux
Nur kurz wie es unter der Haube funktioniert: Linux bringt für die Verschlüsselung mit dm-crypt direkt ein Kryptographiemodul des Kernels mit. Das System hat also bereits alles an Bord, das ich zum Verschlüsseln brauche. Der verschlüsselte Container wird mit LUKS um einen Header erweitert, der einen oder mehrere Keys und Infos über die Verschlüsselung enthält. Das macht es besonders einfach, einen so verschlüsselten Stick auf einem anderen Linux zu öffnen, da er alle nötigen Infos mitbringt.
dm-crypt und LUKS kann ich auch auf der Kommandozeile nutzen, dazu dient das Konsolentool cryptsetup. Das lohnt sich vor allem, wenn ich Infos über einen verschlüsselten Container abrufen, gezielt Parameter der Verschlüsselung anpassen oder weitere Schlüssel hinzuzufügen will. Es geht aber auch einfacher: Ich zeige hier stattdessen einen schnellen Weg auf der grafischen Oberfläche für den ich mir keine Befehle merken muss.
Den USB-Stick kann ich also an jedem Linux-System anstecken, die Passphrase eintippen und auf die Daten zugreifen. Windows-Systeme sind bei dieser Art der Verschlüsselung außen vor, die Verschlüsselung lässt sich nur unter Linux öffnen. Vor dem Abziehen des Stick schließe ich den Container wieder – einfach per Klick auf Auswerfen oder mit dem Pfeil im Dateimanager.
Vorbereitungen
Wichtig: Beim Verschlüsseln des Sticks gehen alle darauf gespeicherten Daten verloren! Der Stick muss erst verschlüsselt werden, bevor ich darauf Dateien speichern kann.
Und zwar verwende ich das Tool Laufwerke. Der generische Name ist typisch für Gnome-Tools, denn in der Paketverwaltung heißt das Tool gnome-disk-utility. Das Tool lässt sich in allen großen Linux-Distributionen aus den Paketquellen nachinstallieren, auf dem Gnome-Desktop ist es meist schon vorinstalliert.
USB-Stick verschlüsseln
Um das Tool zu öffnen, suche ich im Menü nach „Laufwerke“. Das Programm zeigt nach dem Start alle Datenträger und ihre Partitionen im System an. Achtung: Wer hier versehentlich Partitionen auf den Festplatten/SSDs bearbeitet, verliert schnell alle Daten.
Ein USB-Stick taucht nach dem Anstecken ganz unten in der Liste der Datenträger auf. Klickt man ihn an, erscheinen rechts im Fenster die darauf enthaltenen Partitionen des Datenträgers. Bei einem neuen Stick ist das meist nur eine. War der Stick schon in Gebrauch und es ist mehr als eine Partition darauf, muss ich die alten Partitionen erst löschen, um den ganzen Platz nutzen zu können. Dazu markiere ich die einzeln und entferne sie mit Klick auf das rote Minuszeichen. Sobald da nur noch “Freier Platz…” steht, lege ich über das Pluszeichen eine einzige große Partition darauf an, ziehe den Schieberegler ganz nach rechts und bestätige mit Weiter.
Bei einem neuen Stick bin habe ich nur eine Partition, die ich im Fenster markiere. Ein Klick auf die Zahnradsymbole öffnet das Kontextmenü, dort wähle ich “Partition formatieren” und bin an derselben Stelle, wie nach dem Neuanlegen einer Partition.

In beiden Szenarien geht es dann weiter mit dem Verschlüsseln: Namen eintragen, Häkchen bei “Interne Disk für die ausschließliche Nutzung mit Linux-Systemen (Ext4)” und “Passwortgeschützter Datenträger (LUKS)” und ein Klick auf “Weiter”. Dann trage ich zweimal die gewünschte Passphrase ein, idealerweise eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen. Mit “Weiter” geht’s zum nächsten Schritt. Noch eine letzte Warnung, dann macht das Tool nach einem Klick auf “Formatieren” beziehungsweise “Erstellen” den Stick endgültig platt. Jetzt erstellt gnome-disk-utility das Dateisystem und legt den verschlüsselten Container an.
Dateien auf dem verschlüsselten Stick speichern
Um Dateien im Container, also auf dem Stick, zu speichern, muss ich ihn erst aufschließen und ins System einhängen. Manche Desktops bieten das nach dem Anstecken eines verschlüsselten Sticks direkt mit einem Dialog an. Alternativ klicke ich im Gnome-Disk-Utility auf den Container und dann auf das Schlosssymbol. Nach der Eingabe der Passphrase (und eventuell noch des Benutzer:innenpassworts) wird daraus ein Playbutton. Klicke ich den an, bindet Linux den Container ins System ein und ich sehe, über welches Verzeichnis ich auf die Daten zugreifen kann. Bei mir ist das beispielsweise /run/media/lmd/Datensafe.
Den Ordner kann ich jetzt im Dateimanager öffnen, Backups, Fotos und anderes drin speichern und den Container dann mit einem Klick auf den Auswurfpfeil wieder schließen und den Stick sicher abziehen.
Verschlüsselt Ihr Eure Sticks oder externen Festplatten und wenn womit? Schreibts mir gern in die Kommentare.
Schreibe den ersten Kommentar