Zašifrování partišny Truecryptem (Ubuntu)

Předpokládám, že máte nainstalovaný Truecrypt (návod), ale ten budete potřebovat až k šifrování. A teď k dalšímu. Pokud již máte volný oddíl na disku, který byste rádi zašifrovali, jděte rovnou na část II. Pokud potřebujete volný oddíl teprve vytvořit, pokračujte dále sekcí I.

I. Vytvoření nového diskového oddílu v Ubuntu

Potřebujete-li volný diskový oddíl, ten lze velmi jednoduše vytvořit pomocí Gnome Partition Editor (Gparted). Menší zásek je pouze v tom, že nemůžete upravovat místo na disku, který je mountovaný, připojený. Zkrátka, nemůžete upravit diskové oddíly disku, z něhož spouštíte Gparted. Takže instalace Gparted na disk zde nepomůže, ale protože Gparted je i na instalačním cedlu Ubuntu, které, jak už byste mohli vědět :), je zároveň Live CD, musíte nabootovat z toho Live CD.

Po bootu z Live CD spusťte tamní Gparted (System > Administration > GNOME Partition Editor) a na pracovní ploše odpojte disk (pravý klik na ikonku s názvem disk). (update: v Ubuntu 7.10 už netřeba disk odpojovat)

V Gparted pravý klik na disk, na němž chcete nový oddíl, a zvolte Resize/Move. Tahem myši od pravého okraje směrem doleva upravte (= zmenšete) velikost daného disku. Sledujte kolonku Free Space Following. Tam můžete ještě jemně "doladit" velikost nového oddílu pomocí číselníkových "zobáčků".

Klikněte na tlačítko Resize. Objeví se grafický pás Unallocated v šedé barvě a zatím bez file systemu. Dejte Apply (zelené odtržení).

Začne probíhat operace upravující velikost disku. Probíhá nejprve kontrola a oprava chyb na disku (check errors), pak vlastní úprava (rozklikněte si Details). Vydržte, než uvidíte nějaké změny, nezapomeňte, že jste nabootovaní z cedla (update: v Ubuntu 7.10 šla operace jako po másle). Mohou se objevit hlášky, že nelze připojit (mountovat) disk, ale systém by se měl pokusit znovu zkontrolovat chyby disku a po určité chvíli ohlásí, že operace proběhla úspěšně. Disk je zase namountován (ikonka na ploše, otevře se okno).

Na konci této části operace máte tedy oddíl Unallocated v šedé barvě - volné místo na disku. Nyní můžete vypnout Gparted a restartovat, protože zbytek úprav oddílu dokončíte už po hdd bootu. Během závěrečných obrazovek Ubuntu vyjede cedlo z drivu a systém vás oranžovým (7.10) nápisem vyzve k oddělání cédéčka a entrování (je to stejné, jako když instalujete Ubuntu na hdd).

Proběhne tedy boot na harddisk, jakmile je systém připraven na vaše přání, nastartujte Gparted (tj. nyní už ten, co jste si doinstalovali do Systém > Správa), zvolte to šedé Unallocated a stiskněte Nový. V otevřených volbách byste měli mít Primární oddíl a souborový systém Ext3 (ten není důležitý, TC ho stejně celý přemaže FATem:) Stiskněte Přidat. Proběhne naformátování nového oddílu souborovým systémem.

Tak, nyní byste měli mít vytvořen nový diskový oddíl s file systemem, např. Ext3. Každopádně si někam zapište jméno tohoto nového oddílu - typicky je to hda3. Cesta k tomuto zařízení je tedy /dev/hda3. Na ploše se objeví namountovaný disk (ikonka), tj. onen nový oddíl. Můžete ho klidně vypnout (pravý klik). (Update: v 7.10 se nic nemountuje, Gparted se prostě po skončení operace vypne). Tím končí dobrodružství zvané "vytvoření nového oddílu disku na Ubuntu".

II. Vytvoření TC svazku na partišně

Příkaz k vytvoření zašifrovaného oddílu je prostinký, vlastně je to totéž jako u kontejneru, akorát že místo cesty a názvu kontejnerového souboru uvedete cestu k danému device a jeho název:

sudo truecrypt -c /dev/hda3 (konkrétní příklad, zjistěte si skutečné jméno vašeho nového oddílu v Gparted!)

A pak už začne úplně běžná dialogová procedura vytváření šifrovaného TC svazku. Tu jsem již popsal, takže nemá smysl to opakovat, jenom na varování (Warning), že budou smazána všechna data z oddílu dejte y (zkontrolujte si však, zda jste opravdu zvolili nový oddíl! nebo byste mohli zašifrovat = smazat nějaký oddíl, kde máte cenná data!).

Závěrem k této části opět varuji, že pokud v Ubuntu používáte TC, musíte zablokovat soubor /var/log/auth.log (viz konec odkazovaného článku), nebo by mohl kdokoliv vidět, které zašifrované svazky na disku máte, kde je máte a kdy jste se k nim připojili a od nich odpojili.

III. Ovládání - pes jitrničku sežral

K zašifrovanému diskovému oddílu se - stejně jako ke kontejnerovému souboru - připojujete normálně v Terminálu:

truecrypt -u /dev/jmenozasifrovanehooddilu ~/slozkadonizseotevre
truecrypt -u /dev/hda3 ~/tajnosti (konkrétní příklad)

Pak zadáte uživatelské heslo systému a nakonec TC heslo pro šifrovaný svazek, a šifrovaný oddíl (zde hda3) se otevře do nějaké složky (zde tajnosti) v uživatelské složce (~/). Po skončení práce s daty stačí zase běžné odpojení (truecrypt -d ~/tajnosti), obsah šifrovaného svazku z této složky "zmizí", a bude prázdná.

Zašifrovaná partišna, pokud není otevřena, se jeví v Gparted jako prázdný oddíl s neznámým systémem souborů (pravý klik na tento oddíl a info, vysvětlují tam, co to může znamenat :), v Sledování systému > Souborové systémy není samozřejmě neotevřená vidět vůbec (pokud ale svazek otevřete, je zde samozřejmě vidět). Zašifrovaná partišna je zřejmě nejméně nápadná možnost, jak pořádně ukrýt data, protože prázdný diskový oddíl větší velikosti nebudí takovou pozornost jako příliš velký nečitelný soubor. Ještě bych rád zjistil, jestli nejde používat TC nějak portable i na Linuxu. Instalovaný TC na disku je nápověda jako hrom. Takže dobrodružství nekončí!