Erstellen und Verwenden von LUKS-verschlüsselten Volumes

Einführung in LUKS

Der einfachste Weg, um die Dokumente zu nutzen, die Sie mit Tails verschlüsselt, ist die Verwendung des persistenten Speichers.

Sie können weitere verschlüsselte Volumes mit LUKS erstellen, um zum Beispiel einen anderen USB-Stick oder eine externe Festplatte zu verschlüsseln. LUKS ist der Standard für Festplattenverschlüsselung in Linux.

  • The Disks utility allows you to create encrypted volumes.

  • The GNOME desktop allows you to open encrypted volumes.

Such encrypted volumes, like the Persistent Storage, are not hidden.

An attacker in possession of the device can know that there is an encrypted volume on it. Take into consideration that you can be forced or tricked to give out its passphrase.

Vergleich zwischen LUKS und VeraCrypt

Sie können auch VeraCrypt-verschlüsselte Volumes in Tails öffnen. VeraCrypt ist ein Festplattenverschlüsselungstool für Windows, macOS und Linux. Siehe unsere Dokumentation über VeraCrypt.

Wir empfehlen Ihnen, Folgendes zu verwenden:

  • VeraCrypt to share encrypted files across different operating systems.

  • LUKS to encrypt files for Tails and Linux.

LUKSVeraCrypt
CompatibilityLinuxWindows + macOS + Linux
Create new volumesYesOutside of Tails
Open and modify existing volumesYesYes
Encrypted partitions (or entire disks)¹YesYes
Encrypted file containers¹Complicated Easy
Plausible deniability²NoYes
Ease of useEasierMore complicated
SpeedFasterSlower
  1. Siehe den Unterschied zwischen Dateicontainern und Partitionen.

  2. Plausible Bestreitbarkeit: In einigen Fällen (z. B. bei VeraCrypt versteckten Datenträgern) ist es für einen Gegner unmöglich, die Existenz eines verschlüsselten Datenträgers technisch zu beweisen.

    Dennoch könnte deniable encryption Sie nicht schützen, wenn Sie gezwungen werden, die Existenz des verschlüsselten Volumes offenzulegen. Siehe VeraCrypt: Plausible Deniability.

Erstellen Sie eine verschlüsselte Partition

Choose Apps ▸ Utilities ▸ Disks to open the Disks utility.

Identifizierung Ihres externen Speichergeräts

Das Disks-Dienstprogramm listet alle aktuellen Speichergeräte auf der linken Seite des Bildschirms auf.

  1. Schließen Sie das externe Speichermedium an, welches Sie verwenden möchten.

  2. Ein neues Medium erscheint in der Liste der Speichermedien. Wählen Sie es aus.

  3. Überprüfen Sie, dass die Beschreibung des Mediums auf der rechten Seite des Bildschirms Ihrem Medium entspricht: das Modell, die Größe, usw.

Formatieren Sie das Medium

  1. Select the Menu button in the title bar and choose Format Disk to erase all the existing partitions on the device.

  2. Im Dialogfeld Festplatte formatieren:

    • Wenn Sie alle Daten auf dem Gerät überschreiben möchten, wählen Sie Vorhandene Daten mit Nullen überschreiben im Menü Löschen aus.

      Overwriting existing data does not erase all data on flash memories, such as USB sticks and SSDs (Solid-State Drives).

      See the limitations of file deletion.

    • Wählen Sie Kompatibel mit allen Systemen und Geräten (MBR/DOS) im Menü Partitionierung aus.

  3. Klicken Sie auf Formatieren.

  4. Überprüfen Sie im Bestätigungsdialog, ob das Gerät korrekt ist.

  5. Klicken Sie auf Formatieren.

Erstellen Sie eine neue, verschlüsselte Partition

Nun zeigt das Schema der Partitionen in der Mitte des Bildschirms ein leeres Medium an:

Free Space 123 GB

  1. Click on the Create partition button to create a new partition on the device.

  2. Configure the various settings of your new partition in the partition creation assistant:

    • Im Partition erstellen Bildschirm:

      • Partitiongröße: Sie können eine Partition auf dem gesamten Gerät oder nur auf einem Teil davon erstellen.

        Im folgenden Beispiel erstellen wir eine Partition von 4,0 GB auf einem Gerät mit 8,1 GB.

    • Im Dialogfeld Volume formatieren:

      • Volumenname

        Sie können der Partition einen Namen geben. Dieser Name bleibt unsichtbar, bis die Partition geöffnet ist, kann Ihnen jedoch helfen, sie während der Verwendung zu identifizieren.

      • Löschen

        Sie können wählen, vorhandene Daten auf der Partition zu überschreiben.

        Overwriting existing data does not erase all data on flash memories, such as USB sticks and SSDs (Solid-State Drives).

        See the limitations of file deletion.

      • Typ

        Choose Internal disk for use with Linux systems only (Ext4) and Password protect volume (LUKS).

    • Auf dem Bildschirm Passwort festlegen:

      • Password: type a passphrase for the encrypted partition and repeat it to confirm.

        Wir empfehlen, ein langes Passwort aus 5 bis 7 zufälligen Wörtern zu wählen. Erfahren Sie mehr über die Mathematik hinter einprägsamen und sicheren Passwörtern.

        Es ist unmöglich, Ihr Passwort wiederherzustellen, wenn Sie es vergessen!

        Um sich Ihr Passwort zu merken, können Sie es auf ein Stück Papier schreiben, einige Tage in Ihrer Geldbörse aufbewahren und es zerstören, sobald Sie es gut kennen.

      Klicken Sie anschließend auf die Erstellen-Schaltfläche.

    • Creating the partition takes from a few seconds to a few minutes. After that, the new encrypted partition appears in the volumes on the device:

      Partition 1 4.0 GB LUKS / Filesystem 4.0 GB Ext4

    • If you want to create another partition in the free space on the device, click on the free space and then click on the Create partition button again.

Benutzen Sie die neue Partition

You can open this new partition from the sidebar of the Files browser with the name you gave it.

Öffnen Sie eine bestehende, verschlüsselte Partition

Wenn Sie ein Gerät anschließen, das eine verschlüsselte Partition hat, bietet Tails an, die Verschlüsselung automatisch zu entsperren.

  1. Stecken Sie das externe Speichergerät ein, das die verschlüsselte Partition enthält.

  2. Ein Dialogfeld erscheint und fragt nach dem Passwort, um die Partition zu entsperren.

    Authentication Required

  3. Geben Sie das Passwort der Partition in die Passwortabfrage ein und klicken Sie auf Entsperren.

    Wenn Sie die Option Passwort merken aktivieren, merkt sich Tails das Passwort dieser Partition nur bis zum Herunterfahren. Das Passwort wird nicht in Ihrem beständigen Datenspeicher gespeichert.

  4. After unlocking, you can access the content of the partition from the sidebar of the Files browser.

Nachdem Sie die Partition verwendet haben, klicken Sie auf die Auswerfen Schaltfläche neben der Partition in der Seitenleiste des Dateien-Browsers, um die Partition sicher auszuwerfen und die Verschlüsselung erneut zu sperren.

Öffnen verschlüsselter Laufwerke auf anderen Betriebssystemen

It is possible to open such encrypted volumes from other operating systems. But, doing so might compromise the security provided by Tails.

Zum Beispiel könnten durch das andere Betriebssystem Thumbnails von Fotos erstellt und gespeichert werden. Oder die Inhalte von Dateien könnten vom anderen Betriebssystem indiziert werden.

Ändern der Passphrase einer bestehenden verschlüsselten Partition

  1. Choose Apps ▸ Utilities ▸ Disks to open the Disks utility.

  2. Schließen Sie das externe Speichergerät an, das die verschlüsselte Partition enthält, für die Sie das Passwort ändern möchten.

  3. Das Gerät wird in der Liste der Speichergeräte angezeigt. Klicken Sie darauf.

  4. Überprüfen Sie, dass die Beschreibung des Mediums auf der rechten Seite des Bildschirms Ihrem Medium entspricht: das Modell, die Größe, usw.

  5. Click on the partition displaying a Partition LUKS in the bottom-right corner.

  6. Click on the Additional partition options button and choose Change Passphrase in the shortcut menu.