Home-Verschlüsselung von einem Live-System aus einbinden um Daten zu retten

Linux Mint 22 bietet immer noch die Möglichkeit der Home-Verschlüsselung, mittels ecryptfs, bei der Installation an. Dabei wird nicht das ganze System verschlüsselt, sondern nur das Heimatverzeichnis, das sogenannte Home, des Benutzers. Im Home befinden sich normalerweise alle relevanten Daten eines Linux-Nutzers, also Dokumente, Bilder, Videos, und vieles mehr. Diese Verschlüsselung wird gern bei portablen Geräten, wie z.B. Notebooks, eingesetzt. Ich selbst nutze diese Methode für Laptop und Co. entsprechend auf meinen Computern. Jedoch sollte man bei einer Verschlüsselung immer bedenken, was kann ich im Fehlerfall tun, um an meine Daten heranzukommen. Genau hier gibt es einige Fallen, die auf den unbedarften Nutzer lauern. Deswegen habe ich mich heute fast ausschließlich damit beschäftigt, wie man an seine Dateien von außen herankommt. Und so funktioniert es aktuell:

Warum man über eine Verschlüsselung seiner Daten ganau nachdenken sollte!

Es gibt Tage, an denen man vielleicht schon mal über eine Verschlüsselung seiner Daten, auf dem PC, nachgedacht hat. Und irgendwann macht man dies vielleicht auch, ohne sich genau im Klaren zu sein. Was ist denn, wenn etwas schief läuft mit der Funktion der "Entschlüsselung"? Es besteht sogar die Möglichkeit, dass man eine Verschlüsselung verwendet, ohne dies überhaupt zu wissen!

So hatte ich letztens den Fall eines Bekannten mit seinem Laptop. Auf dem Gerät lief Windows 10 Pro als Betriebssystem und in dem Notebook ist ein spezieller Chip verbaut, ein sogenanntes TPM-Modul. Natürlich streikte das Betriebssystem und so kam ich das erste mal in Kontakt mit der Bitlocker- Verschlüsselung.

Anfangs dachte ich mir noch, dies wäre eine Kleinigkeit, Daten mittels Linux retten, Windows neu installieren, Daten zurück spielen. Kein Problem! Doch, wie so oft, falsch gedacht. Das Problem mit dem Gerät wurde mir wie folgt beschrieben: "Windows hat ein Update gemacht, und das hat eeeeeeewig gedauert. Und am nächsten Tag hab ich den Rechner eingeschaltet und Windows ist nicht mehr hochgefahren." Klingt auf dem ersten "Hören" nach - Windows Update Problem - keine große Sache. 

Also Gerät bekommen um zu prüfen. Mittels Mint Live System bekam ich nun einen Einblick was denn da alles so verbaut ist (1x M2 SSD und 1x HDD) und eben auch keinen Einblick auf die Daten, da alle Laufwerke per Bitlocker verschlüsselt waren. Wie man diese Verschlüsselung unter Linux "entsperren" kann ist mir nicht geläufig. Ich weiß aber, nach späterer Recherche, es gibt da Lösungsansätze. In diesem speziellen Fall aber uninteressant, denn letzten Endes war die M2 SSD defekt. Und mit defekt meine ich richtig defekt. Da halfen auch keine Wiederbelebungs-Tipps, wie z.B. Rechner ins Bios starten und halbe Stunde nix machen (Selbstreparatur einer SSD). Die M2 zeigte sich im Bios und auch unter Linux immer als eine 1GB kleine SSD, obwohl ihre eigentliche Größe 256GB betrug, an. Ein Zugriff war nicht möglich, auch nicht mit speziellen Programmen. 

Es musste also eine neue SSD her und diese habe ich verbaut und Windows 10 Pro neu installiert. Doch, oh weh, Bitlocker wurde automatisch aktiviert? Ja, das scheint der Normalfall zu sein, wenn man so ein spezielles Modul im Rechner hat. Alle Laufwerke und Partitionen werden bei der Installation per Bitlocker geschützt. Das mag auf den ersten Blick löblich erscheinen, aber auf den zweiten bedeutet dies, es könnte in manchen Situationen (z.B. Bios-Update) Probleme bereiten. Und ein unbedarfter Anwender hat keine Ahnung was dies bedeuten kann, wenn ein (Bios-)Update fehlschlägt. Des weiteren die Bedeutung einer Verschlüsselung im Falle von "Das Betriebssystem startet nicht mehr wie gewohnt - wie komme ich an meine Daten?" wird hier völlig außer Acht gelassen. Der gewöhnliche Nutzer, und damit meine ich den Anwender (denn 98% sind "nur" noch Anwender in der heutigen Zeit) werden einfach im Unklaren gelassen. Auf eine Verschlüsselung wird beim Kauf des Gerätes sicherlich nur als ein tolles Sicherheitsfeature nebenher hingewiesen. Über Probleme und besondere Hinweise im Umgang mit den eigenen, ab sofort verschlüsselten, Daten wird nichts gesagt. 

Ich habe natürlich die Verschlüsselung sofort deaktivieren wollen, was mir aber nur über die Kommandozeile gelungen ist, da in den Einstellungsdialogen ein deaktivieren gar nicht angeboten wurde. Des weiteren habe ich auf der bisher ungenutzten HDD eine extra Partition geschaffen, in der ich ein Windows-Systemabbild, nach allen möglichen Updates, Treiberinstallationen, Systemsoftwareinstallationen und eben auch nach dem besagtem Bios-Update, abgelegt habe. Mit Hilfe einer "Bitte lesen!" Textdatei, auf dem Desktop, den Bekannten natürlich auf das frische System mit der deaktivierten Verschlüsselung und sonstigen Besonderheiten hingewiesen. Eine regelmäßige Sicherung mit den Windows Bordmitteln habe ich zudem ebenfalls eingerichtet, in der Hoffnung, bei späteren Komplikationen darauf zurück greifen zu können. 

Über Sinn oder Unsinn einer Verschlüsselung wird man sicherlich streiten können. Gerade auf mobilen Geräten ist ein "vercrypten" durchaus angebracht. Wer will schon seine Bilder und sonstigen Daten in den Händen Fremder wissen, wenn man sein Gerät mal verliert? Genau, und deshalb sollte man aber auch die Risiken des Datenverlustes nicht außer Acht lassen. Was im Übrigen auch für unverschlüsselte Geräte und Laufwerke gilt, denn wie oben beschrieben kann ein Defekt sehr plötzlich auftreten. Es sei angeraten regelmäßig Backups seiner Daten anzulegen! Keine Angst, auch das Backup lässt sich verschlüsseln, damit niemand Fremdes zugriff bekommt. Aber immer daran denken: Was ist denn, wenn etwas schief läuft mit der Funktion der "Entschlüsselung"? Wie funktioniert das Entschlüsseln im Fehlerfalle, welche Passwörter, welche Schlüssel, was wird sonst benötigt um an die Daten zu kommen. Am besten dieses Szenario einmal durchprobieren und überzeugen - "Geht das denn auch wirklich so?! Schaffe ich es eigenständig an meine Dateien zu kommen?" Nur wenn man diese Fragen mit JA beantworten kann, ist die Verschlüsselung seiner Daten einem selbst zuzutrauen. 

Auf verschlüsseltes Home mittels LiveSystem zugreifen - so gehts!

Linux Mint 17.x / 18.x bietet die Möglichkeit schon bei der Installation das eigene Home-Verzeichnis zu verschlüsseln. Dazu wird das Programm eCryptFS verwendet. Dies ist eine gute Möglichkeit seine persönlichen Daten vor neugierigen Blicken (zum Beispiel bei Verlust des Laptops durch Diebstahl) zu schützen. 

Doch birgt eine Verschlüsselung auch Risiken.
Was, wenn das System nicht mehr richtig startet?

Es ist besser, für solche Fälle vorbereitet zu sein und Rettungsmaßnahmen vor einem Crash durchgespielt zu haben. Schließlich ist auch ein Linux nicht immer perfekt und es gibt, wenn auch selten, den Fall das der Desktop nicht mehr erreicht wird und man vor einem schwarzen Bildschirm, ggf. mit Fehlermeldungen, sitzt.

Wie komme ich an meine Daten, wenn Windows 8/10 nicht mehr startet und die Platte sich im Ruhemodus (Hibernation) befindet?

Falls man seinen Windows 10 bzw. Windows 8 Computer "ausschaltet" tut man dies nicht wirklich richtig. Der PC geht eigentlich nur in eine Art Schlafmodus, wonach er einem nach dem "Anschalten" suggeriert schnell zu starten.
Damit das so flink erfolgen kann befindet sich die Festplatte im Hibernationmodus. (Details kann man der Wikipedia entnehmen) Startet man seinen Computer mittels einer Linux Live CD/DVD, oder mittels eines Live Linux USB-Stick so stellt man schnell fest, dass man die vorhandenen Windowspartitionen teilweise nicht einfach über einen Doppelklick einhängen kann. Es ploppt eine Fehlermeldung auf und gibt Hinweis das sich die Platte / Partition im Hibernation befindet.
Wie kommt man nun doch noch an die Daten?


Eine Möglichkeit wäre die Partition nun nur lesend einzuhängen. Dies kann man über das Terminal recht einfach realisieren.

• Also Terminal aus dem Menü starten. Am Prompt den Befehl ls eingeben und mit Enter bestätigen. Nun sieht man alle Ordner und Dateien des Home-Ordners. Wir suchen nach Desktop oder Schreibtisch oder Arbeitsfläche. Je nachdem, was nun der Ordner für unsere Desktopoberfläche ist, wechseln wir mit dem Befehl cd Schreibtisch in dieses Verzeichnis.

• Nun erstellen wir mittels mkdir Leselaufwerk gefolgt von Enter einen neuen Ordner, der auch sofort auf dem Desktop erscheint. Im Moment ist dieser Ordner noch leer, wir werden aber in diesen die Windowspartition einbinden / mounten.

• Um festzustellen, welche Partitionen man einbinden will, kann man den folgenden Befehl ausführen. sudo blkid -o list -w /dev/null zeigt in einer kleinen Tabelle alle Partitionen an.

 

Feststellung der Windows Partitionen

• Wir interessieren uns hier für die zweite Partition auf der ersten Platte. Also sda2 ist normalerweise die Windows Partition, wo wir das eigentliche Windows und die eigenen Daten wiederfinden.

Nun folgt das Einbinden bzw. Mounten dieser Partition.

• Der Befehl sudo mount -o ro /dev/sda2  ~/Schreibtisch/Leselaufwerk füllt unseren erstellten Ordner mit den Daten der Partition. Das Optionsbit -ro steht hier für read only, also nur lesend.

  

  die Partition mounten

• Öffnen wir den Ordner Leselaufwerk, sehen wir alle Daten der Platte C:\ (Windows Partition) und können die gewünschten Dateien z.B. auf einen externen Datenträger (USB Stick oder USB Festplatte) kopieren.

 Hat man seine Daten gesichert.

Partition un-mounten

• Sind die gewünschten Dokumente, Bilder, Videos, Savegames, oder sonstige Verzeichnisse gesichert, dann sollten wir das Laufwerk sda2 wieder entbinden / unmounten. Dies geschieht ebenso einfach über den Befehl sudo umount ~/Desktop/Leselaufwerk im Terminal.

Wie bereits erwähnt, das Windowslaufwerk wird nur lesend eingebunden. Man kann also keine Daten auf der Partition verändern, löschen oder speichern. Dies ist dennoch für eine einfache Datensicherung bzw. Datenrettung völlig ausreichend.