Veracrypt-Anleitung für Linux-DAUs

[Katara]

Hey miteinander,

Situation:
Meinem weit entfernt lebenden Bruder ist seine HDD kaputt gegangen -> 600GB Urlaubs-Fotos, -Videos, Dokumente, etc.
Er hat ein Backup davon auf einer SSD, die bei mir liegt.
Ich möchte dieses Backup nun auf eine neue SSD duplizieren und ihm diese per DHL zuschicken.
Er hat nur einen 12 Jahre alten Thinkpad-Laptop auf welchem ich ihm Linux Mint installiert habe.
Weder mein Bruder, noch ich kennen uns mit Linux aus. Er nutzt den Laptop nur zum Surfen und für Netflix. Zurzeit hat er leider nichtmal Internet, er könnte höchstens versuchen den Laptop via Hotspot vom Smartphone ins Internet zu bringen.

Fragestellung:
Wie bekommen wir das obige Problem am einfachsten gelöst?
Meine Idee:

• ich erstelle einen Veracrypt-Container mit seinem Backup
• außerhalb des Containers, also auf den unverschlüsselten Teil der SSD, packe ich ihm Installationsdateien für Veracrypt
• da das Installieren auf Linux glaube ich nicht so einfach ist wie Windows (setup-Datei öffnen und durch die Setup-Schritte klicken), wäre es evtl. am einfachsten, wenn ich ihm eine Text-Datei auf die SSD lege, mit den Terminal-Commands, die Veracrypt automatisch installieren

Was haltet ihr von dieser Idee?
Falls die in Ordnung ist, welche Installations-Datei lade ich am besten von der Veracrypt-Download-Seite?
Und welche Terminal-Commands packe ich ihm in die Text-Datei?

Liebe Grüße

 

[mojitomay]

Geht es dir nur darum die Daten zu verschlüsseln?
Weil das wäre super einfach mit ssl möglich.

Dann kannst du ihm auf die Platte ein einfaches Script packen, dass ihm die Daten nach Transport wieder entschlüsselt.


Man muss auf der SSD ja nicht zwangsläufig einen verschlüsselten Container packen.
Die Daten einzeln verschlüsselt, Passwort via Telefon oder alternativ den Key via Brief oder elektronisch übermitteln.

https://wiki.ubuntuusers.de/Daten_verschlüsseln/#OpenSSL

 

[0x8100]

verschlüssel einfach die ssd mit dem in linux eingebauten luks:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

sobald dein bruder auf die ssd zugreift, wird er nach dem passwort gefragt und kann dann ohne weitere schritte einfach die daten lesen.

 

[madmax2010]

1. bitte verifizier, dass die SSD noch funktioniert und die Daten noch interger sind. Ich habe schon MLC SSDs gehabt, die nach gut einem Jahr im Schrank unlesbare Fragmente hatten. bei aktuellem TLC/QLC geht das gern noch schneller
2. Anleitung. Ich gehe davon aus, dass der container mit dem namen backup.vc im home ordner liegt. nicht auf dem desktop, nicht in documents, direkt im home ordner. Dann ist die Sprache egal.
2.1Container erstellen: sudo veracrypt --text --create backup.vc --size 700G --password MySuperSecurePassword1! --volume-type normal --encryption AES --hash sha-512 --filesystem exfat --pim 0 --keyfiles "" --random-source randomdata.txt
2.2 veracrypt installieren nicht getestet, aber LGTM: (warum hat ubuntu/mint vera nicht in dem primaeren quellen?!)
sudo add-apt-repository ppa:unit193/encryption
sudo apt update
sudo apt install veracrypt
2.3 container mounten:
sudo veracrypt --text --mount backup.vc /mnt --password MySuperSecurePassword1! --pim 0 --keyfiles "" --protect-hidden no --slot 1 --verbose
passwort ist denke ich klar, hier pim0, keine keyfiles und mount in slot1. Gemounted wird unter /mnt

bei den 2 Befehlen passt das so. Musst nur das Passwort tauschen
guter vera guide: https://arcanecode.com/2021/06/21/veracrypt-on-the-command-line-for-ubuntu-linux/

wenn du den container so erstellst, namen und orte stimmen, dann ist das eig. idiotensicher. man muss nur richtig copy-paste machen


tmate.io kann dir auch helfen - im prinzip teamviewer fuer dein Terminal

 

[Katara]

Ja genau, es geht einfach nur darum die Daten verschlüsselt zu ihm zu bekommen. Ob mit Veracrypt oder anderweitig, ist egal.
Daher schauen die Vorschläge von @mojitomay und @0x8100 sehr gut aus. Das schau ich mir beides mal an, vielen Dank!
@madmax2010 Trotzdem natürlich auch Danke an Dich für die ausführliche Veracrypt-Anleitung!

 

[Amaoto]

Ja genau, es geht einfach nur darum die Daten verschlüsselt zu ihm zu bekommen. Ob mit Veracrypt oder anderweitig, ist egal.

Pack die Daten einfach in ein Zip-Archiv mit Passwort. Das Passwort übermittelst du auf einem anderen Weg.
Das funktioniert dann plattformunabhängig. Du kannst es unter Windows (etwa 7-Zip) erstellen, er kann es unter Linux entpacken.
Für noch mehr Sicherheit (etwa Verschlüsselung der Dateinamen) könnte man statt Zip auch 7z nehmen. Es könnte aber sein, dass dann auch unter Linux Mint ein zusätzliches Paket installiert werden muss.

 

[Burfi]

Also Seitenantwort:
Wie @madmax2010 schon gesagt hat: Wenn die SSD ausschliesslich als Backup Medium gedacht ist, dann ist sie die absolut falsche Wahl. SSDs müssen betrieben werden damit die Daten dauerhaft sicher sind. Sie sind als "offline" Backup Medium nicht geeignet. Dafür sollte man weiterhin HDDs benutzen.

 

[madmax2010]

egal was du davon befolgst: tmate.io hat mir im Familienumfeld schon bei genau so Dingen sehr geholfen. Wenn er es nicht hin bekommt, use it.

 

[Katara]

@Amaoto das ist auch eine sehr gute Idee. Ich denke so werde ich das machen.

Ich habe hier bei mir Win10 und WinRAR. Um sicherzugehen, dass ich alles richtig verstanden habe, schreibe ich nachfolgend mal auf wie ich mir den ganzen Vorgang gerade denke. Bitte korrigiert mich, wenn ich da Denkfehler drin habe:

• Ich packe mit WinRAR alle 600GB Daten in ein einzelnes Zip-Archiv
• Die SSD, die ich ihm zuschicke, formatiere ich um zu dem NTFS-Dateisystem (ich habe wie gesagt nur Win10 gerade hier, könnte aber notfalls natürlich auch einen Linux-Stick erstellen und davon booten)
• Mein Bruder kann dann mit Linux-nativen Mitteln (ohne WinRAR oder ähnliche zusätzliche Programme) auf die Zip-Datei zugreifen
• Er kann einfach die Zip-Datei doppelklicken und dann kommt direkt die Passwort-Abfrage
• Nach erfolgreicher Passwort-Eingabe bekommt er dann die Ansicht aller Dateien des Zip-Archivs und kann diese direkt öffnen, d.h. geöffnete Dateien werden einfach "on-the-fly" entschlüsselt
• Zwischenfrage: er hat einen 12 Jahre alten Lenovo Thinkpad E525. Ist dieser wohl schnell genug, um z.B. eine Full-HD-Videodatei on-the-fly zu entschlüsseln (sodass das Video flüssig wiedergegeben wird?)

Angenommen die SSD hätte den Laufwerkbuchstaben H, dann würde ich das Zip-Archiv wiefolgt erstellen:

@Burfi @madmax2010 die SSD wird mindestens 2x im Monat auch von mir genutzt um ein paar Daten zu backuppen. Also sie hängt regelmäßig am PC für etwa 30-45min. Auf die Backup-Daten meines Bruders greife ich dabei jedoch nicht zu. Das sollte aber trotzdem ok sein, oder?

 

[0x8100]

wenn du das so machen willst, dann nimm als komprimierungsmethode sowas wie "speichern" oder "keine". die daten lassen sich sowieso nicht komprimieren und 600GB würden sonst ne ganze weile dauern.

 

[kieleich]

ZIP/RAR/7Z ist unter Linux nur entpackbar wenn man die Non-Free Versionen installiert sonst heisst es einfach nur Error. Veracrypt muss unter Linux nicht installiert werden, cryptsetup open --type tcrypt funktioniert. Denn einen Befehl wird man wohl noch raus getüftelt bekommen auch wenn man sich nicht gut aus kennt,,,

Falls du beim archiven bleiben willst dann 7z (unter Ubuntu p7zip-full installieren dann mit 7z x ... entpacken) und ich würde empfehlen lieber mehrere Archive zu machen als nur eines für alles denn, bei Archiven ist es so, ein kleines Fehlerchen macht gggf. die ganze Datei unbrauchbar.

Ggf. könnt ihr auch eine kleine Test Datei (crypt container oder archiv) übers Internet verschicken und testen ob das Entpacken mit dem PAsswort Klappt bevor es auf den Post weg Geht

 

[Amaoto]

ZIP/RAR/7Z ist unter Linux nur entpackbar wenn man die Non-Free Versionen installiert sonst heisst es einfach nur Error.

Nein. Non-Free ist nur rar.

Bei Linux Mint sollte je nach Desktop File Roller ("Archivverwaltung") oder Engrampa als Standard für Zip-Archive installiert sein. Für 7z-Archive ist zusätzlich p7zip erforderlich. Wenn es nicht bereits installiert ist, müsste es nachinstalliert werden.

Testet es am besten wie vorgeschlagen mit einem kleinen Archiv über E-Mail o.Ä. Alternativ kannst du auch Mint als Live-System booten und dort selbst mal schauen.

 

[Katara]

Es ist die neueste Version von Linux Mint mit dem Cinnamon Desktop installiert.

Ich werde ihm am Wochenende mal eine kleine .zip-Datei zum Testen über's Internet schicken.

 

[Uridium]

Die Methode ist riskant. Gerade Zip Implementationen sind sehr alt und wahrscheinlich nicht für riesige Dateien vorbereitet. Man läuft Gefahr, dass die Extraktion versuchen könnte die ganze Datei (das ganze Archiv) in den Speicher zu pumpen, was nicht funktionieren wird (es gibt unter Linux viele Implementationen/Extraktoren). Außerdem ist das ein "Kofferformat", was nicht für Echtzeitzugriffe konzipiert ist (bei rar/7z unbedingt auf "solid" Archive verzichten). Er müsste/sollte demnach alles noch mal entpacken (also noch eine 600GB Platte haben). Zumindest würde ich erst mal mit einer "kleinen" Datei (sagen wir 30GB) testen.
Ich empfehle ebenfalls LUKS. Das wird direkt als echter Datenträger eingebunden. Edit: Notfalls Veracrypt (bevorzugt die ganze Platte/Partition). Das kann man mit den LUKS Tools (Cryptsetup) auch unter Linux mounten. Notfalls auch mit Veracrypt/Linux. Auch diesen Vorgang kannst Du ja bei dir lokal üben, um später instruieren zu können.

 

[Garmor]

Würde auch sagen, dass LUKS auf der Empfängerseite die narrensicherste Lösung sein sollte.

 

[Katara]

@Uridium Danke für die Warnung! Dann werde ich wohl LUKS verwenden. Wie erwähnt habe ich nur Win10 hier installiert, d.h. ich gehe wiefolgt vor:

• einen bootfähigen USB-Stick mit Linux Mint erstellen
• vom Stick booten
• die neue SSD auf das ext4-Dateisystem formatieren
• eine LUKS-Partition erstellen, welche mindestens 650GB groß ist
• alle Daten auf die LUKS-Partition kopieren

 

[Uridium]

Ja, kann man so machen. Du kannst aber alternativ auch unter Windows eine Veracrypt Partition erstellen (falls das für dich komfortabler ist).

Edit: Wobei... Veracrypt/NTFS birgt die Gefahr, dass bei einem Dateisystemfehler (NTFS) ernsthafte Probleme auftauchen könnten. Diese sollte/müsste man mit Windows beheben (und das hat er ja nicht). Also vielleicht doch besser LUKS/ext4 o.ä. nehmen.

 

[Garmor]

• die neue SSD auf das ext4-Dateisystem formatieren
• eine LUKS-Partition erstellen, welche mindestens 650GB groß ist

Simpler: du machst die Datenträgerverwaltung (GNOME Disks, ist bei Mint dabei) auf und dir wird direkt angeboten, Ext4 mit LUKS zu formatieren.