Ich wollte einen USB-Stick haben,

• • von dem aus ich an jedem PC ein schlankes Betriebssystem booten kann UND
  • der eine verschlüsselte Datenpartition enthält, auf die ich zugreifen kann:
    • sowohl von dem von diesem Stick gebooteten Betriebssystem aus,
    • als auch vom auf meinem PC installierten Linux aus.

Also so eine Art Backup-Stick mit eingebautem „Computer“. 😉
Natürlich braucht man einen echten Computer, den man von einem USB-Stick booten kann. Aber was auf diesem PC installiert ist, spielt keine Rolle (und wird nicht angefasst).

Meine Lösung dafür ist Tails.
Tails ist eine Linux-Distribution, die eigentlich für die anonyme Nutzung des Internets gedacht ist. Wie man Tails auf einen USB-Stick installiert, hatte ich im vorigen Artikel beschrieben.

Tails kann auf dem freien Bereich des USB-Sticks, auf dem es installiert ist, einen sogenannten „Persistent Storage“ (engl. für Dauerhafter Speicher) anlegen. Dies ist eine zweite Partition auf dem Stick, die verschlüsselt ist. Tails verwendet dabei den gesamten Bereich, der im Moment des Anlegens frei ist.
Nach der Installation von Tails auf dem Stick belegt das aktuelle Tails (Version 5.4) ca. 8 GB. Bei einem 32-GB-Stick bekommt man also 24 GB persistenten Speicher. Für die Verschlüsselung wird LUKS verwendet; im verschlüsselten Bereich wird ext4 als Dateisystem eingesetzt.

Wie wird nun die verschlüsselte Datenpartition auf dem Stick angelegt?

Zunächst bootet man Tails vom Stick. Im Willkommen-Dialog evtl. die Sprache anpassen. Sobald der Desktop erschienen ist, startet man das Programm „Configure persistent volume“ (zu finden unter Anwendungen / Systemwerkzeuge).
Dieses Programm hat einen Bug: es besitzt keinen Abbrechen-Button. (Wer es mit kill beenden möchte, muss sich im Willkommen-Dialog – „Welcome to Tails!“ – ein Administrator-Passwort eintragen (Additional Settings / Button „+“ / Administration Password). Dann kann man mit sudo kill oder sudo killall dieses Programm beenden.)
Hier muss man zunächst zwei Mal das Passwort für den zu erstellenden verschlüsselten Bereich eintragen.
Die Vertraulichkeit der Daten hängt wesentlich von der Güte des verwendeten Passwortes ab! Also Länge und Zeichenauswahl des Passwortes je nach den eigenen Sicherheits- und Bequemlichkeits-Bedürfnissen wählen.
Wenn das Passwort verloren ist, dann sind die Daten im verschlüsselten Bereich ebenfalls verloren! Es gibt keine (bekannte) Hintertür.

Nach dem Klick auf den Create-Button wird der verschlüsselte Bereich angelegt („Creating …“). Anschließend erscheint ein Fenster mit Optionen. Hier kann man angeben, welche Daten Tails in dem verschlüsselten Bereich speichern soll.

Nach dem Einstellen und Klick auf „Save“ erscheint ein neuer Dialog mit nur einem Button „Restart Now“. Nach Klick darauf wird der Computer neu gestartet. Dann wieder Tails vom Stick booten.

Um den verschlüsselten Bereich zu verwenden, muss man im Willkommen-Dialog („Welcome to Tails!“) den Persistent Storage einbinden und natürlich das Passwort eingeben.
Auf dem Stick kann man beliebige Daten ablegen.

Mini-FAQ

1) Was kann ich tun, wenn ich das Passwort für den verschlüsselten Bereich (Persistent Storage) vergessen habe?

Dann sind die Daten darin unwiederbringlich verloren.
Du kannst dann nur den Persistent Storage löschen, neu anlegen und Deine Daten wieder hinein kopieren.

2) Wie lösche ich den Persistent Storage?

1. Tails starten
2. Das Programm „Delete persistent volume“ starten (unter Anwendungen / Systemwerkzeuge)
   Auch dieses Programm hat den o. g. Bug, dass es keinen Abbrechen-Button besitzt.
   Um den Persistent Storage zu löschen den Button „Delete“ anklicken.
   Im nächsten Fenster den Button „Restart Now“ anklicken. Nun wird Tails beendet und der Computer bootet neu.