Ganz einfach, wenn die Möglichkeit besteht, dass nicht vertrauenswürdige Personen Zugriff auf den PC, bzw. die Festplatte haben können.
1) zu Hause am PC
selbst entscheiden, ob man der eigenen Wohnung vertraut
welche Personen sind im Haushalt,
(Vorsicht: Verschlüsselung ist ein Misstrauensvotum an Personen im gemeinsamen Haushalt)
wie sicher ist die Wohnung?
2) portabler Einsatz
Notebooks immer verschlüsseln
externe Festplatten, wenn diese verloren gehen könnten
USB-Sticks, dto. ext. Festplatten
3) allgemeine Kriterien
Festplatten die irgendwann wieder verkauft werden sollen
Festplatten, die ohne Aufwand entsorgt werden sollen (Wertstoffhof)
in diesen Fällen, die HD nur verschlüsselt betreiben, nie eine unverschlüsselte Partition anlegen und Daten speichern
4) Entsorgung, wenn doch noch lesbare Daten auf der Festplatte sein sollten:
Festplatte immer mechanisch zerstören, niemals eine 'kaputte' HD auf den Wertstoffhof bringen.
es gibt eine 'Sekundärindustrie', die aus alten Teilen ganze PCs zusammenschraubt und weiter verkauft, dagegen ist nichts einzuwenden,
es sind unsere privaten Daten, die unbeabsichtigt weitergegeben werden.
Meine Empfehlung ist LUKS.
LUKS ist im Kernel enthalten und ist unter Linux die erste Wahl.
Alle folgenden Kommandos werden im Terminal als 'root' ausgeführt.
Folgendes Programm installieren:
apt-get install cryptsetup
Partition auswählen, die verschlüsselt werden soll. Alle Daten gehen verloren (Vorsicht!).
cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/Partition
Partition ist sda1 od. sdb2 oder ...,
3 x hinsehen, ob die richtige Partition ausgewählt wurde.
Man muss hier das Passwort angeben, dieses notieren.
Ohne PW ist der Zugriff auf die Partition nicht mehr möglich.
Es gibt keinen Trick oder Hintertüren, wenn das Passwort verloren geht!
LUKS ist sehr zuverlässig.
Die so vorbereite Partition mit LUKS öffnen. Dabei bekommt die Partition einen Namen, mit dem diese dann eingebunden werden kann. Diese Name ist frei wählbar und kann jedes mal neu vergeben werden.
cryptsetup luksOpen /dev/Partition unverwechselbarer_Name
Und man wird nach dem PW gefragt...
Danach steht unter:
/dev/mapper/unverwechselbarer_Name
ein Device zur Verfügung, das wie ein ganz normales Device verwendet werden kann.
Alle Zugriffe auf dieses Device sind ab sofort verschlüsselt.
Es gibt aber dort noch kein Linux-Filesystem, daher jetzt eines anlegen.
mkfs.ext3 /dev/mapper/unverwechselbarer_Name -L "unverwechselbarer_Name"
Wieder aufpassen, dass wirklich die Partition verwendet wird, die über /dev/mapper erreichbar ist,
D.h. die Partition wird zweimal formatiert:
Basisformatierung mit LUKS
Formatierumg des LUKS-Devices, mit einem Linux-Filesystem
Ist die Formatierung abgeschlossen, kann die Partition gemountet werden.
mkdir /mnt/encrypted mount /dev/mapper/unverwechselbarer_Name /mnt/encrypted
Partition wieder aushängen:
umount /dev/mapper/unverwechselbarer_Name cryptsetup luksClose unverwechselbarer_Name
Wenn die LUKS-Partition auf einer externen HD angelegt wurde, kann man automatisch die HD mit LUKS öffnen und mounten.
apt-get install gdecrypt
Wir jetzt die HD über USB angesteckt, wird diese automatisch eingebunden.\\ 'gdecrypt' fragt nach dem Passwort. ;-)
Nach der Benutzung der externen HD, kann mit Rechtsklick auf das Icon diese sicher entfernt werden.