• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[HowTo] Festplatten verschlüsselt mit Lin & Win nutzen

Hab mir gedacht ich könnte mich für all die Hilfe die ich hier schon bekommen hab auch mal revanchieren und ein Howto für Windows/Linux Festplattenzugriff erstellen. Das findet sich ja schon ansatzweise im Forum aber mir hat da der Aspekt Verschlüsselung gefehlt. Vor allem wenn man zu dem „Ich Lager alles was ich hab auf dem PC, incl. Geburtsurkunde“- Typ gehört sollte man mal über Verschlüsselung nachdenken. Das ganze Howto hat zum Ziel, einen Rechner mit Linux und Windows als Dual-Boot Konfiguration zu haben und von beiden Systemen lesend UND schreibend auf eine gemeinsame, verschlüsselte Festplatte zugreifen zu können.

Voraussetzungen:
- fertig installiertes Dual Boot System
- Platz der folgenden Art
- leere zu verschlüsselnde Partition
- leere Platte
- leerer Platz auf einer ext2/ext3 Partition

Schritt 0: Festplatte partitionieren falls nicht nicht erledigt

Falls die Platte noch nicht partitioniert sein sollte, sollte das vorher erledigt werden. Entweder in Windows mit dem Volume Manager unter Systemsteuerung->Verwaltung->Computerverwaltung->Datenspeicher->Datenträgerverwaltung oder unter bei Suse unter Yast->System->Partitionieren. Bitte vorher schlau machen, dieses HowTo ist nicht primär für das Erlernen des Partitionierens, sondern für das Verschlüsseln und den gemeinsamen Zugriff.

Schritt 1: Truecrypt unter Windows installieren

Windows booten, Truecrypt für Windows (Installer) www.truecrypt.org runterladen und installieren. Dafür muss man Admin sein, wenns erstmal installiert ist, benötigt Truecrypt keine Adminrechte mehr, weder zum Mounten/Unmounten, noch zum schreiben/lesen. Installation sollte nichts besonderes sein.



Schritt 2: ext2 IFS unter Windows installieren

extIFS von http://www.fs-driver.org/ runterladen und installieren. Dieser Treiber bietet Zugriff auf ext2/ext3 Laufwerke, sowohl schreibend als auch lesend. Dateien größer 4GB werden unterstützt, damit wäre der Riesenvorteil (von Journaling mal abgesehen) gegenüber FAT32 genannt. Falls im Rechner schon ext2/ext3 Laufwerke sein sollten, kann jetzt schon im Windows Control Panel /Systemsteuerung ein Laufwerksbuchstabe dafür vergeben werden. Danach lässt sich auf das Laufwerk ganz normal zugreifen, keine weiteren Tools sind mehr nötig um zu lesen oder zu kopieren.

Schritt 3: Truecrypt unter Linux installieren

Linux booten, Truecrypt für Linux (Sourcecode) www.truecrypt.org runterladen und entpacken. Rootshell öffnen (Konsole aufmachen, 'su' eingeben um root zu werden), in das Verzeichnis wechseln wo wir truecrypt entpackt haben und ins Unterverzeichnis Linux wechseln. Dort
Code:
./install.sh
ausführen und die Fragen beantwortet. Eigentlich sind alle Fragen in der default-Einstellung zu lassen, außer der ob auch ein nicht-Admin truecrypt ausführen darf. Diese sollte mit ja beantwortet werden, sonst kann später nur root Laufwerke mounten.

HINWEIS: Wenn selber kompiliert wird, kann das seeehr lange dauern. 20Minuten sind keine Seltenheit. NICHT glauben da ist was schiefgelaufen. Als Hausnummer: mein AthlonXP2800+ brauchte ca. 10-15 Minuten. Auf einem 800er Pentium kann sich das schon ein Weilchen ziehen.


Damit wäre die Vorbereitung abgeschlossen, es sollten bis hierher keine Fehler aufgetreten sein. Als nächstes folgt die Laufwerkserstellung. Wer graphische Erstellung vorzieht kann das unter Windows machen, alternativ ist es unter Linux möglich. Letztendlich muss jedoch unter Linux formatiert werden, weil Windows kein ext2/ext3 formatieren kann.

Schritt 4a: Laufwerkerstellung unter Windows

Truecrypt starten. Unter Volume->Create Truecrypt Volume den Einrichtungsassistenten starten. Art des Volume auswählen. Hier entscheidet sich was wir wollen.

- Eine Partition auswählen, die später zu einem verschlüsselten Laufwerk werden soll
- Eine Datei auf einem ext2/ext3 Laufwerk erstellen, die ein verschlüsseltes Laufwerk enthalten soll

Je nach Wunsch jetzt eine Partition oder Datei auswählen und auf weiter gehen. Kein (!) Dateisystem auswählen, kostet nur Zeit und wir machen es eh neu. Wenn alles fertig ist, sollte es so aussehen (ich habs mal in einer VM simuliert, daher das kleine Volume)



Schritt 4b: Laufwerkerstellung unter Linux

Laufwerkserstellung erfolgt mit dem Flag '-c' für create
Code:
truecrypt -c

Bei der Option 'Enter file or device name for new volume:' wird entweder der Pfad der Containerdatei oder der Pfad des Laufwerks angegeben. z.B. /dev/hda2 bzw. /dev/sdb1 bzw. /home/xyz/container.tc



Schritt 5: Formatieren unter Linux

mit
Code:
truecrypt -l
kann jederzeit angezeigt werden, welche Laufwerke gerade gemappt sind. Das Mappen/Mounten erfolgt mit Truecrypt in zwei Schritten. Zuerst wird der Container nach Eingabe des Passworts gemapped, d.h. das Volume ist über /dev/mapper/truecrypt0 ansprechbar. Dann muss es noch ins Dateisystem eingebunden werden (mount). Dieser Schritt kann aber von truecrypt übernommen werden, doch dazu später mehr. Erstmal mappen wir das Laufwerk mit
Code:
truecrypt /hier/kommt/der/container-bzw-device-pfad/hin
. Unter
Code:
truecrypt -l
müsste es dann auftauchen. Jetzt muss es nur noch formatiert werden und wir sind fertig. Dies passiert mit
Code:
mke2fs -j /dev/mapper/truecrypt0
Root Rechte sind erforderlich!

Ein letzter Test bevor wir den Windows Mount probieren:

Wir unmappen das Volume und hängen es gleich wieder komplett ein.
Code:
truecrypt -d[br]truecrypt /hier/kommt/der/volumepfad/hin /hier/kommt/der/zielpfad/zum/einhängen/sprich/leerer/ordnder/hin
Mit
Code:
truecrypt -l
kann man sich wieder überzeugen, dass das mapping wieder geklappt hat. Ob mount funktioniert hat, merkt man daran, dass der Zielordner plötzlich ein lost+found enthält.



Fertig! Jetzt müsste im Zielpfad das neue ext3 Volume eingehängt sein. Testweise mal nen neuen Ordner drin erstellen. Falls ihr GNOME laufen habt, kann man auch in der Systemüberwachung unter Geräte das Volume sehen. Fürs Betriebsystem und alle Anwendungen ist das transparent, also kein Unterschied zu all den anderen Laufwerken. Jetzt wieder alles aushängen und Windows booten.

Schritt 6a: Mount unter Windows mit Device Laufwerk

Windows booten und Truecrypt starten. Device und Laufwerksbuchstaben auswählen und mounten. Falls der Explorer noch mault, von wegen dass das Laufwerk noch nicht formatiert sei, In der Systemsteuerung den ext2IFS starten. Wenn das Icon noch nicht in der Systemsteuerung ist, ext2IFS noch einmal installieren (wenn ext2IFS bei der Installation keine Linux Laufwerke findet, installiert es kein Icon in der Systemsteuerung). Bei mir hat es einwandfrei geklappt, falls es Probleme geben sollte -> nachfragen.



Schritt 6b: Mount unter Windows mit Container Laufwerk

Wenn der Container auf einer ext2/ext3 Platte liegen sollte, muss diese erstmal einen Buchstaben bekommen, bevor Truecrypt mounten kann. Also in der Systemsteuerung ext2IFS ausführen und Buchstaben zuweisen. Dann Truecrypt starten und auf dem ext2/ext3 Laufwerk den Container auswählen und mounten. Wenn der Container auf einer NTFS Platte liegt habt ihr was falsch verstanden, das wollten wir gerade nicht. Wenn er auf ner Fat32 Platte liegt kann er maximal 4GB haben, auch ziemlich uncool. Also entweder auf ner ext2/ext3 Platte, oder direkt als Device.



Schritt 6c: Mount unter Linux mit Device Laufwerk

Linux booten und mit
Code:
truecrypt /dev/hdxy /pfad/zum/einhängen
device mappen und mounten.



Schritt 6d: Mount unter Linux mit Container Laufwerk

Linux booten und mit
Code:
truecrypt /pfad/zum/container /pfad/zum/einhängen
container mappen und mounten.



Schritt 7: Dick grinsen und freuen

Jetzt müsstet ihr unter Windows im Explorer ein neues Laufwerk haben, mit dem Buchstaben, den ihr in Truecrypt eingestellt habt. Unter Linux findet ihr das Volume über Nautilus/Konqueror in dem Pfad wo ihr es eingehängt habt. Jetzt können sich beide Systeme ein verschlüssltes Laufwerk teilen, das mit >4GB Dateien umgehen kann und Journaling features hat. Zugriffsrechte sind supersicher, Truecrypt kann man sogar nicht durch den Ausbau der Platte und Einbau in nem anderen Rechner umgehen. Auch wenn mal Besuch von der Polizei (offenes WLAN und der Nachbar ist pädophil) kommt und alles mitnimmt, kommt keiner ran und liest auch keine eurer Mails an die scharfe Kollegin.

Das ganze ist so transparent, dass ich (wie man an den Screenshots evtl errät) unter Linux (Suse 10.1) ein ext3 Laufwerk hatte, welches mit Samba freigegeben war. Dieses Laufwerk habe ich in einer virtuellen Maschine (Windows) als Netzlaufwerk verbunden und das darauf liegende Truecrypt-Container-File mittels Truecrypt gemountet. Das gemountete Laufwerk wurde von Ext2IFS erkannt und als normales Laufwerk behandelt. Also schreibt und liest Windows in der virtuellen Maschine ein verschlüsseltes ContainerFile, das in Wirklichkeit auf einer ext3 Partition unter Linux liegt.

Für Hinweise, Fragen etc. stehe ich gerne zur Verfügung, kann allerdings keine Garantien übernehmen wenn ihr eure Daten schrottet. Umgang mit Partitionen bzw. Formatieren dergleichen sollte unter größter Vorsicht geschehen, wenn ihr ausversehen die Windowspartition statt der Truecryptpartition formatiert ist nachher Windows weg. Ganz. Komplett. Alles. Also mir keine Rockers vorbeischicken, wenn ihr was zerlegt. Lieber nachfragen bevor ihr euch nicht sicher seid.

greetings, rws
 
Wird doch. :D
Kleiner Tipp: Wenn du die Rechte an den Bildern besitzt (z.B. eigene Screenshots oder Bilder unter der GPL), dann lad die Bilder doch ins Wiki hoch: http://www.linux-club.de/faq/Spezial:Upload

Wer weiß, wie lange die Bilder bei Imageshack verfügbar bleiben. :wink:
Stehen sie im Wiki, haben wir die Kontrolle darüber.

Hilfe beim Erstellen von Artikeln:
http://meta.wikimedia.org/wiki/Hilfe:Handbuch
http://www.linux-club.de/faq/LinuxClub:Hilfe

Oder du kopierst schamlos die Formatierungen der anderen Artikel.
(Wir alle hatten da anfangs so unsere Schwierigkeiten) :wink:
 
OP
R

RidewithStyle

Member
Ok, da war wohl jemand schneller als ich und hat den Artikel aufgeräumt. Merci dafür, hatte mich schon mal ansatzweise in die Syntax eingelesen, aber bb liegt mir halt doch mehr. ;)
 

Grothesk

Ultimate Guru
Der Vollständigkeit halber hier noch der Link zum Wiki:
http://www.linux-club.de/faq/Festplatten_verschlüsselt_mit_Linux_und_Windows_nutzen
 

ByteMan

Newbie
Hallo,

zunächst möchte ich dieses HOWTO loben. Ich hatte genau das Problem (Win und Linux auf einer verschlüsselten Partition), und habe per google das passende Wiki gefunden. Leider lößt es mein Problem nicht. An genau der spannenden Stelle fehlt vielleicht etwas, oder ich übersehe es ständig ...

Ich habe unter Linux zwei TrueCrypt-Partitionen angelegt und ext3 formatiert. Per Linux ist dementsprechend der Zugriff kein Problem. Unter Windows arbeite ich seit geraumer Zeit mit ext2IFS und einer unverschlüsselten ext3 Partition (also auch hier kein Problem).

In ext2IFS sehe ich die beiden Partitionen, kann ihnen Laufwerksbuchstaben zuweisen und im Explorer bekomme ich die Meldung "Nicht Formatiert" (logisch, TrueCrypt hats verwurschtelt).

Binde ich die Partitionen per TrueCrypt ein (anders als im HOWTO wird übrigens direkt die Partition angegeben, also z. B. \Device\Harddisk2\Partition3), dann bekomme ich die selbe Meldung, was auch logisch ist, weil Windows kein ext3 lesen kann.

Die Reihenfolge der letzten beiden Schritte ist egal. Wenn ich beide nacheinander ausgeführt habe, habe ich 4 neue Laufwerke. 2 von TrueCrypt entschlüsselte, auf denen ext3 den Zugriff verhindert (Explorer will formatieren), und 2 von ext2IFS angelegte, die noch verschlüsselt sind (Explorer meldet "Auf X:\ kann nicht zugegriffen werden. Falscher Parameter").

Beide Programme scheinen also eher parallel auf die Partitionen zuzugreifen, obwohl verkettet angebracht wäre. Kann ich das irgendwie ändern? Hat jemand das erfolgreich zum laufen gebracht? Ich finde es leider nicht (und das nicht erst seit heute) :roll:

Herzlichen Dank,
Steffen

PS: Ich habe Win XP und Debian 4.0 jeweils mit dem Versionsstand von letzer Woche.
 

ByteMan

Newbie
Manchmal sieht man einfach die Bäume vor lauter Wald nicht. Das Problem ist geklärt.

ext2IFS erkennt die TrueCrypt-Partitionen tatsächlich immer genau dann nicht automatisch, wenn sie unter Linux nicht sauber wieder mit truecrypt -d aushängt worden sind. Dann tritt eben das Problem wie oben beschrieben auf.

In dem Fall hilft Linux starten, Partition mit truecrypt einmal einhängen, dann wieder aushängen und Windows starten.
 
OP
R

RidewithStyle

Member
Servus,

das wundert mich allerdings, weil truecrypt normalerweise automatisch sauber unmounted wenn das system unter linux runterfahren wird. Ich häng das nie manuell aus bevor ich wieder neu starte um windows zu laden. Zugegeben, ich lade kaum windows, aber dein beschriebenes Verhalten hatte ich noch nie. Gut, dass du es beheben konntest, kannst ja eine Bemerkung im wiki hinzufügen.

Schöne Ostern, rws
 

ByteMan

Newbie
Moin,

herzlichen Dank, Dir auch Frohe Ostern.

Ich habe es tatsächlich nachvollziehen können. Das Problem ist reproduzierbar. Wie auch immer, ich habe mir ein Shell-Skript angelegt, daß beim herunterfahren ausgeführt wird, und mir alles nochmal sauber aushängt. Damit geht es halt auch problemlos.

Die Idee mit dem Wiki ist keine schlechte Idee. Muß ich mir aber erst noch angucken, weil mal abgesehen davon, daß dies mein erster Forenbeitrag ist, wäre es auch mein erster Wiki-Eintrag (bin halt der klassische google'n'read Mensch :wink: ). Aber ich komme darauf zurück.

Grüße,
Steffen
 

CME

Newbie
Hallo,
ich habe folgendes Problem, und zwar soll ich ein Freund (noch ein Linuxanfänger) helfen eine Festplatte zu verschlüsseln und er wollte sie unter linux und windows verwenden. Wir wollten aber dafür gern ext2 verwenden. Wir haben jetzt erstmal ein USB stick genommen um ein bischen rumzuprobieren, wir ham eine Truecrypt Partition erstellt und mit ext2 formatiert, unter linux gemountet und alles lief. Dann haben wir die geumountet (umount /media/sdh1) und dann halt mit truecrypt -d die verschlüsselte partition geumountet.

Danachen haben wir truecrypt auf den sein Notebook (nur auf sein Haupt PC ist linux und windows drauf) in Windows installiert und das Laufwerk eingehangen, es wurde alles erkannt und es zeigte die Größe des USB sticks an und die gewählte verschlüsselung, danach haben wir EXT2IFS installiert und da zeigt es noch zusätzlich Drive 2 und Drive 3 an, aber bei keins von beiden eine ext2 partition.

Danach probierten wir den USB stick nochmal in linux, eingehangen und da badblocks auf /dev/mapper/truecrypt0 ausgeführt, alle blöcke waren defekt, dann haben wir den nochmal rausgesteckt und wieder rein, danach lief alles und man konnte mit Linux drauf zugreifen.
Und wieder in Windows rein, und es war noch das selbe Problem da.

Jemand ne Idee was wir da jetzt machen könnten?

Vielen Dank schonmal und noch ein schönen Abend/schöne Nacht wünsch ich noch ;)

PS: PC1: ubuntu 7.10 64bit + windows XP2
notebook: windows XP SP2
 

ByteMan

Newbie
Hallo CME,

wenn ich das richtig verstanden habe, dann habt ihr erst die Partition (also den USB-Stick) /media/sdh1 aus dem System ausgehängt, und dann versucht mit truecrypt -d den darauf befindlichen Container auszuhängen. Das kann natürlich nicht gut gehen ;) Meinen Erfahrungen nach kann das auch schon die Ursache für alle Probleme sein.

Übrigens habe ich seit dem letzten Post hier diese Lösung sehr stabil in Betrieb. Lediglich mit Sonderzeichen in Dateinamen hatte ich zwischendurch etwas Ärger, was aber mit der Verschlüsselung nichts zu tun hat.

Wenn das nicht helfen sollte, ist die Frage, ob es ein einfaches oder ein verstecktes Volume ist. Unter Umständen versucht ihr es mit dem falschen Passwort, so dass der äußere Container geladen wird (wenn es ein verstecktes Volume ist).

In dem EXT2IFS kann man eigentlich nicht viel einstellen und daher auch nichts verkehrt machen. Wenn es etwas nicht erkennt, dann liegt der Fehler meist an anderer Stelle.

Wenn leere Laufwerke auftauchen im Windows, dann hilft meiner Erfahrung nach ignorieren am besten ;) Ich denke Du meinst die Drive 2 und 3 in EXT2IFS. Da kann es wieder sein, daß wenn es ein verstecktes Volume ist, ihr vielleicht einfach ein falsches gewählt habt?!? Bei versteckten Volumes kann man sich sowohl in den äußeren Container einloggen, als auch in den darin versteckten. Der einzige Unterschied ist das Passwort.

Ich hoffe das hilft erstmal.

Grüße,
Steffen
 

gnarf

Newbie
ByteMan schrieb:
Die Reihenfolge der letzten beiden Schritte ist egal. Wenn ich beide nacheinander ausgeführt habe, habe ich 4 neue Laufwerke. 2 von TrueCrypt entschlüsselte, auf denen ext3 den Zugriff verhindert (Explorer will formatieren), und 2 von ext2IFS angelegte, die noch verschlüsselt sind (Explorer meldet "Auf X:\ kann nicht zugegriffen werden. Falscher Parameter").

Genau das Problem habe ich momentan auch. Partition mit TrueCrypt entschlüsseln funktioniert, mit ext2ifs einen Laufwerksbuchstaben zuweise funktioniert auch. Allerdings komm ich dann genau wie du nicht an die Partition ran.
Handelt sich bei mir auch um eine ext3-Partition, welche definitiv richtig mit turecrypt -d ausgehängt wurde (händisch!).
Das Verhalten hab ich bei allen meinen verschlüsselten ext3-Partitionen.

Jemand eine Idee?
 

ByteMan

Newbie
Hallo gnarf,

das einzige was mir noch einfällt ist, daß ich vor einiger Zeit bei einer Neuinstallation versucht habe mit EXT2IFS 1.11 zu arbeiten, was nicht wollte wie es sollte. Dann habe ich wieder die Version 1.10c genommen und seit dem keine Probleme.

Mehr als das ohnehin schon gesagte fällt mir nicht mehr ein.

Grüße,
Steffen
 

gnarf

Newbie
Danke für deine Antwort.
Ich verwende die Version 1.10c bereits. Die aktuelle will irgendwie nicht in Kombination mit TrueCrypt.
 

lOtz1009

Moderator
Teammitglied
Mit der 1.11er hatte ich regelmäßig Bluescreens beim Mounten unter WinXP in Verbindung mit Truecrypt (sowohl 4.3 als auch ab 5), das ließ sich beheben indem man die Truecrypt-Laufwerke als Wechseldatenträger einbindet...
 

gnarf

Newbie
lOtz schrieb:
Mit der 1.11er hatte ich regelmäßig Bluescreens beim Mounten unter WinXP in Verbindung mit Truecrypt (sowohl 4.3 als auch ab 5), das ließ sich beheben indem man die Truecrypt-Laufwerke als Wechseldatenträger einbindet...

Danke für den Hinweis. Jetzt kann ich wenigstens mit der 1.11 fahren.
Sagt mir aber leider nach wie vor "Auf *:\ kann nicht zugegriffen werden. Falsche Parameter". :(

Mir werden die verschlüsselten Partitionen in ext2ifs übrigends nicht wie gewohnt als "Ext2" angezeigt, sondern lediglich als "Linux". Keine Ahnung, ob das so gehört.
 
Oben