Verschlüsselter Linux-Stick, Teil 3: Das Matroschka-Prinzip

Die Verschlüsselung auf dem USB-Stick wurde eingerichtet. Und mit den Anwendungen, die MX Linux von Haus aus installiert, kann man auch sofort sicher arbeiten. Nun gilt es, den Austausch von Daten „nach draußen“ ebenfalls abzusichern. Nach draußen kann bedeuten, dass man Dokumente auf ein anderes Gerät übertragen, einen Cloud-Dienst nutzen, Daten synchronisieren oder den eigenen Homeserver einbinden möchte. Für all dies kann eine zweite Verschlüsselungsebene mit wenigen Einstellungen oder Programmen eingerichtet werden. Auf diese Weise erhält man gewissermaßen eine „Verschlüsselung in der Verschlüsselung“. Man kann sich das etwas wie die bekannten Matroschka-Puppen vorstellen, in denen Püppchen verschachtelt stecken.

WLAN: Eigene VPN-Verbindung per WireGuard nutzen

Die VPN-Verbindungen, die über das eigene Modem zu Hause laufen, sind erstaunlich gut. Seit zwei, drei Jahren nutze ich unterwegs die Verbindung über meine FritzBox. Alles läuft sehr flott, stabil – und vor allem geschützt. Wichtig, wenn man das WLAN im Zug, in einem Hotel oder einem Café nutzt. Inzwischen kann man in den handelsüblichen Modems mit ein paar Klicks den WireGuard-VPN-Zugriff einrichten. Eine Schritt-für-Schritt-Anleitung habe ich für die FritzBox in einem früheren Artikel gegeben.

Man könnte die Modem-Einrichtung zwar z. B. auf seinem Windows-Rechner vornehmen, müsste dann aber die Konfigurationsdatei auf den Linux-Stick übertragen. Daher ist es einfacher, wenn man den Browser direkt auf dem Stick startet und dort die Weboberfläche seines Modems öffnet (z. B. „fritz.box“). Man erhält am Ende der Einrichtung eine Textdatei (z. B. „wg_config.conf“), die alle notwendigen Angaben enthält.

Man könnte die Angaben in dieser Datei zwar „per Hand“ in die Netzwerkmaske auf dem MX-Linux-Stick kopieren, doch es gibt einen einfacheren Weg. Zuvor muss WireGuard kurz auf dem Stick installiert werden, was über den Paketmanager erledigt werden kann.

Anschließend öffnet man das Terminal und gibt einen Befehl ein, der für den Import der erzeugten Konfigurationsdatei ins System sorgt:

nmcli connection import type wireguard file /pfad/zur/datei.conf

nmcli connection import type wireguard file /pfad/zur/datei.conf

Erledigt. Bei den Funknetzwerken wird nun zusätzlich der Punkt „VPN-Verbindungen“ aufgeführt und ist standardmäßig aktiviert.

Ich habe bei mir zusätzlich als visuellen Hinweis den Netzwerkmonitor in die Taskleiste aufgenommen und mit dem VPN-Namen verknüpft. Auf diese Weise bewegt sich die bunte Skala nur, wenn ich auch mit WireGuard unterwegs bin. Sollte ich die Funktion versehentlich ausgeschaltet haben, wird bewegt sich dort nichts.

Hinweis: Meist hat man auch auf dem Smartphone WireGuard installiert. Wenn man dort VPN aktiviert und den Internet-Zugriff über den Hotspot des eigenen Smartphones laufen lässt, ist es nicht zwingend so, dass auch der Datenverkehr des Linux-Sticks über das dortige VPN läuft. Meist ist es empfehlenswert, auch bei der Hotspot-Nutzung VPN direkt auf dem Stick zu aktivieren.

Nextcloud für Projekt-Dateien nutzen

Ein großer Vorteil des Nextcloud-Desktop-Clients ist, dass man aus seiner „großen“ Nextcloud nur jene Ordner oder Dokumente auswählen kann, mit denen man gerade arbeitet. Mit anderen Worten: Speichert man in seiner Nextcloud z. B. Backups, Fotos, Archive usw., so werden diese nicht auf den Stick übertragen und belegen damit auch keinen Platz. Hingegen kann man beispielsweise den Ordner „Projekt_Anbau“ oder „3_Transfer“ synchronisieren, sodass aktuelle Dokumente zur Einsicht oder Weiterbearbeitung direkt auf dem Stick zur Verfügung stehen.

An diesen Dokumenten kann man auch bei WLAN-Unterbrechungen arbeiten – der Sync wird automatisch nachgeholt, wenn wieder Empfang besteht. Benötigt man zwischendurch ein Dokument aus „unsynchronisierten“ Ordnern, so ruft man im Browser einfach Nextcloud auf und hat damit auf alle Dateien Zugriff.

Cryptomator: Ende-zu-Ende-Verschlüsselung für alle Cloud-Dienste

Für besonders sensible Dateien bietet es sich an, diese per „Tresor“ auszutauschen. Cryptomator – kostenlos und aus Deutschland – ist dafür ein ausgezeichnetes Tool, das mit hoher Verschlüsselung arbeitet.

Im Screenshot wurde ein Tresor mit dem Namen „Cloud_Transfer“ erzeugt und in einem Verzeichnis gespeichert, das mit der Nextcloud synchronisiert wird („../3_Transfer“). Eine der Besonderheiten von Cryptomator ist besonders nützlich: Man muss sich nicht um die Verschlüsselung kümmern. Auf dem Stick kann man wie gewohnt arbeiten, ohne ständig ein Passwort eingeben zu müssen. Gewissermaßen ist innerhalb des geschützten Raums des USB-Sticks die Tresor-Tür immer offen. Aber auch nur dort. Nach außen werden ausschließlich verschlüsselte Daten übertragen. Daher kann man, wenn man lieber MS-OneDrive, GoogleDrive usw. nutzen möchte, seinen Tresor auch dort speichern.

Weiterhin legt Cryptomator ein zusätzliches Laufwerk an, das man bequem in den Datei-Dialogen seiner Anwendungen auswählen kann:

Hinweis: Im Paketmanager von MX-Linux gibt es die Flatpak-Version von Cryptomator, die bei mir nicht optimal lief. Besser: Auf der Homepage von Cryptomator die AppImage-Version runterladen und als Programm ausführen. Funktioniert tadellos.

Syncthing: Transfer ohne Cloud

Ein weiteres Tool, um Daten zwischen dem Linux-Stick und anderen Geräten zu übertragen, ist Syncthing. Der Transfer geschieht verschlüsselt. Einer der Vorteile des Tools: Pfade werden überwacht und neue Dateien automatisch übertragen. Ich nutze Syncthing beispielsweise für meinen Scanner, der die Scanresultate auf einem Pfad des Windows-Rechners speichert. Landet dort ein neuer Scan, so wird das Dokument direkt zu meinem Raspberry-Pi-Homeserver übertragen und dort automatisch in das Paperless-ngx-Archiv aufgenommen.

Bei der Einrichtung wählt man auf dem Stick die gewünschten Pfade für die Synchronisation aus. Auf anderen Geräten installiert man das gleiche Tool und wählt dort die Zielpfade aus. Bei der ersten Einrichtung muss man ein wenig überlegen. Aber ist dies geschehen, so funktioniert alles im Hintergrund, ohne dass man eingreifen muss (mein Paperless-ngx-Sync dürfte nun schon bald zwei Jahre stabil funktionieren).

KDE Connect: Verbindung zum Smartphone

Die Übertragung von Dateien zwischen Smartphone (Android und iOS/iPadOS) kann auch via KDE Connect erfolgen. Aber KDE Connect kann noch sehr viel mehr – so lassen sich beispielsweise Präsentationen steuern, die Zwischenablage austauschen, Musik-Player bedienen usw. usw.

Falls sich die Geräte gegenseitig nicht erkennen, kurz „Firewall“ aufrufen und überprüfen, ob dort etwas blockiert ist. Ein häufiges Einsatzgebiet: Man nimmt mit dem Smartphone ein Foto auf und möchte dieses auf seinem Stick verwenden. Mit KDE Connect ist das mit einem Klick erledigt:

KeepassXC: Passwörter und mehr

Zu KeepassXC muss ich nicht viele Worte machen. Der Passwortmanager belegt seit Jahren einen Spitzenplatz und bietet 1000 Möglichkeiten, Kennwörter und Zugangsdaten sicher zu verwalten.

Auf unserem Stick integriert er sich perfekt in alle gängigen Browser (bei mir: Vivaldi):

Die „Hauptarbeit“ bei diesem Passwortmanager ist der Sync der Datenbank über Geräte hinweg. Aber mit den vorhergehenden Schritten – Nextcloud, Syncthing, Cryptomator – ist bereits alles getan, um diesen Vorgang zu automatisieren.

Dropfile.at: Die Super-Simple-Übertragung

Wenn man ganz schnell und vollkommen unkompliziert Daten übertragen möchte, so ist der Dienst „Dropfile.at“ (kann man auch selber hosten) ideal. Keine Installation, keine Anmeldung – rein gar nichts außer einem Browser muss vorhanden sein. Auf jedem Gerät (auch mobilen) öffnet man den Browser und gibt „Dropfile.at„ ein – fertig.

Nun kann man beliebig (und beliebig viele) Dateien hin und her schubsen. Setze ich ausgesprochen oft ein (hat bei mir LocalSend ersetzt).

Das soll nun genügen. Viel Spaß mit dem „Matroschka-Prinzip“! 🙂

Verschlüsselter Linux Stick für die Arbeit unterwegs

Teil 1: Vorteile, Hintergrund, Installation
Teil 2: Konfiguration, Persistenz, Verschlüsselung
Teil 3: Das Matroschka-Prinzip