dm-crypt/LUKS ist fester Bestandteil des Linux-Kernels und in allen Linux Distributionen gut integriert. Die Verschlüsselung wird auch von Regierungen und Geheimdiensten zum Schutz vertaulicher und geheimer Daten eingesetzt. dm-crypt/LUKS ist FIPS-2 zertifiziert, wird vom BSI regelmäßig evaluiert und ist in Deutschland bis VS-GEHEIM zugelassen (allerdings ab VS-NfD nur mit Smartcards als Zugriffsschutz und nicht mit Passwörtern).

dm-rypt/LUKS verschlüsselt Blockdevices (Festplatten­partitionen, USB-Sticks oder Image­dateien) und arbeitet vollständig transparent. Es können bis zu 8 unterschiedliche Pass­phrasen + Schlüsseldateinen als Credentials für den Zugriff auf einen Container definiert werden. Außerdem können Veracrypt Container geöffnet werden.

Aufgrund der langjährigen Integration ist die Nutzung unter Linux einerseits einfach mit den Tools zur Verwaltung von Datenträgern möglich und automatisiert. Andererseits bietet die Kommando­zeile im Terminal mehr Optionen für Genießer. Beim Formatieren eines Daten­trägers (z. B. USB-Stick) muss man nur die Option zum Verschlüsseln aktivieren:

Partition verschlüsseln

Im nächsten Schritt wird man nach der Passphrase gefragt, die man wie üblich 2x eingeben muss. Diese Passphrase wird im Slot 0 im LUKS Header gespeichert. Die Verwendung von mehreren, unterschiedlichen Passphrasen oder Keyfiles als Schlüssel wird in dieser einfachen Variante für Mausschubser nicht unterstützt. Dafür muss man die Kommandozeile nutzen.

Wenn man einen so verschlüsselten USB-Stick am Linux Rechner anschließt, wird man nach der Passphrase für den Zugriff auf die Daten gefragt und der Datenträger wird geöffnet:

USB-Stick öffnen

Linux System komplett verschlüsseln

Neben der einfachen Verschlüsselung von Daten­trägern bieten alle Linux Distributionen bei der Installation die Möglichkeit, das komplette System mit Ausnahme der Boot-Partition zu verschlüsseln, wenn man die Festplatte komplett löscht und den Logical Volume Manager (LVM) für die neue Installation aktiviert. Für die Verschlüsselung des gesamten System mit dm-crypt/LUKS ist dann nur ein kleines Häckchen zu setzen.

Beim Linux Mint Installer findet man die Option in den "Erweiterten Funktionen ...".

gesamtes System verschlüsseln bei Linux Mint Installation

Bei anderen Linux Distributionen sieht es irgenwie ähnlich aus...