Linux-Verschlüsselungswerkzeug Cryptsetup unterstützt nun BitLocker

Mit der neuen Version 2.3.0 unterstützt Cryptsetup, unter Linux der Standard zur Datenträgerverschlüsselung, erstmalig auch Microsofts BitLocker-Verschlüsselung für Windows. In Kombination mit einem Dateisystemtreiber, etwa für VFAT, exFAT oder NTFS, wird es damit möglich, verschlüsselte Windows-Datenträger unter Linux mit Bordmitteln einzubinden. Bislang waren hierfür einige Klimmzüge oder die Software von Drittherstellern notwendig.

Die Umsetzung der BitLocker-Unterstützung basiert auf der Masterarbeit nebst Code des Red Hat-Mitarbeiters Vojtech Trefny. Sie ist bislang noch experimentell und im Funktionsumfang eingeschränkt. Insbesondere beim Lesen von Metadaten des Disk-Headers kann es laut dem Entwicklerteam zu Fehlermeldungen kommen. Es bittet in diesem Zusammenhang um Mithilfe in Gestalt intensiver Tests und der Übermittlung von Fehlermeldungen als "Issues" durch die Community.

Unterstützung mit Einschränkungen

Aktuell unterstützt Cryptsetup lediglich das Aktivieren von existierenden Partitionen oder Volumes über Passphrasen oder Recovery-Passphrasen. Dabei ist es sowohl zu BitLocker als auch zu BitLocker To Go kompatibel. Neue BitLocker-Geräte kann Cryptsetup (noch) nicht anlegen. Andere Schutzmechanismen für Schlüssel (Key-Protector) wie TPM und Smartcards lassen sich ebenfalls nicht nutzen. Bei TPM befürchten die Entwickler, dass die Unterstützung auch künftig nicht umsetzbar sei. Denn prinzipbedingt kann ein Betriebssystem (hier Linux) die im TPM durch ein anderes Betriebysstem (Windows) geschützt hinterlegten Daten schlicht nicht auslesen.

Sämtliche Metadaten der verschlüsselten Geräte können bislang nur gelesen werden. Änderungen (etwa von Key-Protectoren) können nicht vorgenommen werden. Mit Ausnahme von alten, unter Windows Vista angelegten Datenträgern sollte Cryptsetup mit allen Formatvarianten umgehen können. Sie sollten sich problemlos einbinden lassen.

Die Dateisysteme selbst können im Anschuss an die Entschlüsselung durch Cryptsetup lesend und schreibend geöffnet werden. Schließlich ist hierfür nicht mehr die BitLocker-Implementierung von Cryptsetup, sondern das darin liegende Dateisystem zuständig. Der entsprechende Treiber für VFAT, exFAT oder NTFS sorgt an dieser Stelle für das notwendige Maß an Kompatibilität, ebenso, wie es auf einem nicht verschlüsselten Datenträger der Fall wäre.

Verschlüsselungsalgorithmen und Linux-Kernel-Versionen

Hinsichtlich der unterstützten Verschlüsselungsalgorithmen und -betriebsmodi kommt es auf die Kernel-Version an. AES-XTS lässt sich mit jedem aktuellen Linux-Kernel verwenden. In älteren BitLocker-Varianten kam AES-CBC mit speziellen IV-Varianten zum Einsatz. Hierfür ist mindestens der Linux-Kernel 5.3 notwendig. Für die Variante mit Elephant-Diffuser ist sogar die Kernel-Version 5.6 oder später erforderlich. Hierbei handelt es sich derzeit noch um eine Vorabversion, mit der wir uns im Rahmen des c't-Kernel-Logs ("Highlights von Linux 5.6") ausführlich befasst haben.

BitLocker mit AES-CBC bietet Cryptsetup lediglich zum Einbinden von älteren Laufwerken an. Moderne BitLocker-Varianten und damit neu unter Windows 10 angelegte Datenträger verwenden AES-XTS.

Details zu Neuerungen in der Cryptsetup-Version abseits des BitLocker-Supports können Interessierte den Release Notes zu Cryptsetup 2.3.0 entnehmen.

Mehr Infos

hgjgj

(ovw)