Wie man besser USB Sticks verschlüsselt mit Linux

Im c’t Uplink vom 22.9 vom 30.6.2018 diskutieren die Heise Redakteure das Thema „USB Sticks praktikabel verschlüsseln“ und kommen dabei zu völlig falschen Einschätzungen 🙂

Bevor Ihr weiter lest, schau Euch bitte die ersten 13 Minuten von dem c’t Uplink an. Ansonsten sieht das hier gleich nach Heise-Bashing aus, was es auf keinen Fall ist.

Die „Windows kanns besser“ These

Vorgestellt werden Bitlocker von Microsoft und VeraCrypt. Veracrypt wird dabei gleich als zu kompliziert aus dem Rennen ausgeschieden, was den Teilnehmern die ernsthaft gemeinte These „Bitlocker von Microsoft wäre die bessere Wahl weil… praktikabel“ entlockt:

– „Du steckst den Stick rein, und die Passwortabfrage kommt.“
– „Das geht mit jedem Windows ab Version 7“

Nur um kurze Zeit später sich selbst widersprechend grade die Bitlocker-Lösung als „properitär“ einzustufen (Stimmt) und mit (sinngemäß)  „Um Festplatteverschlüsselung zu machen, brauchst Du eh die PRO Version, die Home kann das nicht“ gleich wieder aus dem Verkehr zu ziehen. So ganz auf einer Linie ist die Argumentation in sich nicht 🙂

Zusammenfassung

Sie disqualifizieren VeraCrypt mit, daß es zu unpraktisch für den täglichen Einsatz ist.
Sie loben VeraCrypt (indirekt), weil es OpenSource ist und genau das wolle man ja für seine Krypto.
Sie disqualifizieren Bitlocker damit, daß es das sowieso nur in der Pro kann und auch nur für Windows geht und ClosedSource ist.
Sie lassen außen vor, daß es LUKS gibt und wie das mit Linux läuft.

Das lassen wir mal so im Raum stehen ohne es zu bewerten und nehmen wir es einfach mal als Anlass, uns die Sache mit Linux anzusehen und die gleichen Kriterien anzulegen.

Meine „Linux kanns besser“ These

Was haben wir unter Linux für sowas: LUKS.

Es ist Open-Source und auf jeder Major Distribution enthalten, aber es ist  Linux Only … ODER ?? Nein, geht auch mit Windows 😀 Bei Sourceforge.net gab/gibt es ein Projekt, daß Luks Medien unter Windows mountet. Das es vermutlich ähnlich gefährlich ist, wie der Einsatz des Bitlockerhacks unter Linux, ist anzunehmen 🙂

Kriterium „Open-Source“ erfüllt 🙂

Kriterium „Nicht properitär“ … ääähhhm… fairerweise… nicht erfüllt, aber da Open-Source erfüllbar 🙂

Wenn wir einen USB Stick mit Luks einrichten, können wir den einstecken, es kommt eine Passworteingabe und das Laufwerk wird gemountet:

Ich habe mal wieder eine 4. Partition auf meinen aktuellen Livestick gepackt, weswegen das Icon der Fedora-Live-Disk vom USB Stick zusehen ist, denn die Partition war natürlich unverschlüsselt 😉

Kriterium „Praktikabel“ erfüllt 🙂

LUKS ist schon einige Zeit auf dem Markt und daher in allen gängigen Distros auch enthalten. Einschränkungen wie „PRO“ gibt es natürlich nicht.

Kriterium „Geht auf jeder Edition aka allen Linuxen“ erfüllt 🙂

Damit sind wir ein Kriterium besser als Bitlocker und weil M$ den Bitlocker Key erstmal in die eigene Cloud kopiert, damit man „dem Kunden bei Verlust ein Recovery möglich machen kann“ ( wers glaubt ), ist Bitlocker ein NOGO das man nicht ernsthaft in Betracht ziehen kann.

Fazit: Wechselt endlich auf Linux, da geht der Kram einfach 😀

Wie man das einrichtet, gibt es in einem anderen Blog Beitrag.

P.S.: Was die Heise Redakteure nicht wußten war, daß man mit LUKS TrueCryptContainer mounten kann, was bedeutet: „Reinstecken und Passwortabfrage kommt“ geht auch für TrueCrypt/VeraCrypt Medien, wenn man das will 😀