Jak na šifrovanou flashku pomocí TrueCrypt

Instalace TrueCrypt

Instalace je popsána v přiloženém README.txt

Vězte že je velmi jednoduchá:

1) Stáhneme zdrojáky odsud a rozbalíme je.

2) Spustíme jako root skript ~TRUE_SRC/Linux/build.sh, který si ošahá jádro a zkompiluje moduly.

3) V tom samém adresáři jako v bodě 2) je ještě jeden skript (install.sh). Spustíme jej.

Tímto je TrueCrypt nainstalovaný.

Je možné stáhnout i předvytvořené balíky pro Ubuntu a OpenSUSE, tuto možnost jsem nezkoušel.

Tvorba šifrovné volume

Jednoduchý postup vytvoření šifrovaného souborového systému (ne v souboru, viz. dále):

Ze všeho nejdřív by to chtělo šifrovanou volume (budu se držet terminologie TrueCrypt) vytvořit. Příkazem níže spustíme přehledného průvodce, kterým vše potřebné nastavíme (zvolil jsem SHA-1 hashovací funkci, AES blokovou šifru, šifrování cele volume a možnost bez Keyfile.)

treucrypt -c

Za druhé namapovat blokové zařízení. Je to obdoba jakéhosi loop zařízení. Toto zařízení se používá podobně jako běžný loop.

truecrypt -N 1 /dev/sda1

V dalším kroku přistoupíme k vytvoření souborového systému. Já jsem zvolil z důvodu přenositelnosti FAT32 (nebo FAT16 pokud máte malou flashku).

mkfs -t vfat /dev/mapper/truecrypt1

Nyní flashku odpojíme.

truecrypt -d /dev/sda1

Nyní něco k tomu jak připojovat, resp. odpojovat (to bylo vlastně vysvětleno v předchozí větě). Takže nejprve připojení:

truecrypt /dev/sda1 /mnt/CRYPTOflaska

v případě, že potřebujeme mountovat s příslušnými parametry využijeme přepínače -M. Této možnosti využijeme později.

truecrypt /dev/sda1 /mnt/CRYPTOflaska -M parametry_oddelene_carkami

Odmountování

truecrypt -d /dev/sda1

nebo

truecrypt -d /mnt/CRYPTOflaska

Jistě by bylo dobré kdyby mohl mountovat flashku i normální uživatel. Existuje sice možnost při instalaci zadat právo k mountování i běžnému uživateli, ale já jsem zvolil SUDO. Bylo to z toho důvodu, že i když bylo povoleno mountovat i běžným uživatelům, tito uživatelé mohli namountovat svazek pouze pro čtení. Parametry za -M mohl zadávat pouze root.

Do /etc/sudoers jsem přidal (mám zadefinovány aliasy pro uživatele [TOM = tom] a hosta [LOCAL = localhost] ).

TOM LOCAL= NOPASSWD:/usr/bin/truecrypt

Pro větší pohodlí jsem si nadefinoval aliasy pro bash. Do ~/.bashrc jsem přidal:

alias tc='sudo truecrypt'
alias tcm='tc -M uid=$(id -u),gid=$(id -g)'
alias tcu='tc -d'

Takže nyní mountuji následovně

tcm /dev/sda1 /mnt/CRYPTOflaska

a odmountovávám

tcu /mnt/CRYPTOflaska

Zatím k nástroji TrueCrypt nemám námitek, ještě musím vyzkoušet přenositelnost.

Tento nástroj toho samozřejmě umí více:

• Šifrování volume i souboru.
• Ruzné šifrovací a hashovací algoritmy.
• Skrývání (steganografie) volume nebo souboru.
• Autorizace na základě hesla a Keyfile.
• GUI v pygtk, ale to jsem nezkoušel. Návod zde. Pro KDE existuje OneKript (díky za upozornění Ladislavu Hagarovi)

FAQ vzniklo na základě mého blogu, třeba jej časem rozšířím.