background image

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive

1. When prompted to select a “partitioning method.” Choose “Guided – use entire disk and set up 

encrypted LVM” and press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

2. On the next screen that appears, choose your USB Flash Drive and press “enter.” You will likely

see other choices of disks that differ from the picture below. Make sure you choose your USB 
Flash Drive since whichever disk you choose will be erased. The amount of disk space available
on each drive can be used to determine which is your USB Flash Drive. Also, make note of 
your USB Flash Drive's device name and save it for later
You will need to know it later in 
this tutorial. 
In the example below, the device name is “sdc.” It may be different for you.  

NOTE: If you are installing Debian from a bootable USB drive, you must use a USB drive 
that is different than your Debian Installation media drive.
  Otherwise, if you attempt to 
install Debian on your Debian Installation media drive, the installation process will eventually 
fail.

3. On the next screen, select the entry that says “All files in one partition (recommended for new 

users)” and press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

4. You will next be prompted to “Write the changes to disks and configure LVM.” Select “Yes” 

and press “enter.”

5. Next, the installation wizard will eventually begin automatically “erasing data” from your USB 

Flash Drive. This can take a very long time. If you've ever used the drive to store data that is 
related to your personal identity, it is probably best to let this process finish. However, if it is a 
new drive, or you don't have the patience, you can select “cancel” and continue to the next step. 
All new data that is written to your USB Flash Drive will be encrypted.  However, old data on 
the disk left over from before you encrypted it may be discoverable through digital forensics.

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

6. On the next screen, you will be prompted for your encryption passphrase.  It is imperative that

you choose a very strong passphrase! Otherwise, encrypting your flash drive will simply 
amount to a waste of time!
  As was discussed earlier in step 13 of chapter 1D, an 8 character 
password is never a good passphrase. Since the Debian Installer is making use of the cryptsetup 
program and the LUKS encryption system, the following breakdown of the importance of a 
strong passphrase comes from the developer.

 “First, passphrase length is not really the right measure, passphrase entropy is. For example, a 
random lowercase letter (a-z) gives you 4.7 bit of entropy, one element of a-z0-9 gives you 5.2 
bits of entropy, an element of a-zA-Z0-9 gives you 5.9 bits and a-zA-Z0-9!@#$%^&:-+ gives 
you 6.2 bits. On the other hand, a random English word only gives you 0.6...1.3 bits of entropy 
per character. Using sentences that make sense gives lower entropy, series of random words 
gives higher entropy. Do not use sentences that can be tied to you or found on your computer. 
This type of attack is done routinely today. To get reasonable security for the next 10 years, it is 
a good idea to overestimate by 

a factor of at least 1000. 

 Then there is the question of how much the attacker is willing to spend. That is up to your own 
security evaluation. For general use, I will assume the attacker is willing to spend up to 1 
million EUR/USD. Then we get the following recommendations: 

 LUKS: Use > 65 bit. That is e.g. 14 random chars from a-z or a random English sentence 
of > 108 characters length. 

 If paranoid, add at least 20 bit. That is roughly four additional characters for random 
passphrases and roughly 32 characters for a random English sentence.“

https://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions#5._Security_Aspects

Not in the mood to do math?  The lesson to take away is that length, randomness and nonsense 
matter. They will get you more entropy. There are many tricks people use to come up with a 
nonsensical passphrase that they remember.  For example, you could use a play on a favorite 
line from a movie you enjoy combined with a date you would remember like “If My 
Calculations Are Proper, When This Baby Hits 88 Miles Per Hour, You're Going 2 See Some 
Serious Business! January-1-2013?”.  This is a very secure type of passphrase that has plenty of
entropy per the suggested numbers by the developer of cryptsetup. 

For further discussion of strong passphrases, go to 

https://www.grc.com/haystack.htm

.

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

Once you have decided upon a strong passphrase, type it into the “encryption passphrase” field 
and press “enter.”  Remember, if you forget this passphrase, you have lost everything on 
your disk! Make sure you remember it! It cannot be recovered!

7. On the next screen, you will be prompted to confirm your encryption passphrase. Retype it and 

press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

8. On the next screen, select “Finish partitioning and write changes to disk” and press “enter.”

9. The next screen will ask if you want to write the changes to disks.  Select “yes” and press 

“enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

10. In the next screen, you will see a progress bar indicating that it is “installing the base system.” 

This could take awhile. When it finishes, it will prompt you to choose a “Debian archive mirror 
country.” A selection will likely be chosen by default based on the location you selected earlier. 
Select your region and press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

11. The next screen will ask you to choose a “Debian archive mirror” server.  Again, you can just 

choose what the system selected by default by pressing “enter.”

12. The next screen will ask you if you need to use a proxy to access the Internet. If you don't know

the answer to that one, you don't need to use a proxy to access the Internet. Press “enter” to 
continue.

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

13. The installer will now begin “retrieving files” and installing the required packages for the OS.  

At the next prompt, it will ask you if you want to “participate in the package usage survey.”  
Select “no” and press “enter.”
 

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

14. The installer will again perform some tasks until it prompts you to “choose software to install.” 

You only need to install the “Debian Desktop Environment” and “Standard System Utilities.” 
Unselect the other chosen items by moving the arrow key until they are highlighted and 
pressing the space bar.  When the “*” disappears, the item is unselected. When your screen 
looks like the screen shot below, press “enter” to continue.

NOTE: If you will need to print documents from the Debian Operating System you are 
installing, you can leave the “print server” selected.  However, if you will not be printing 
documents, there is no need to enable it.

15. The installer will now begin retrieving files and will then install them. This will take a long 

time. Eventually, the process of installing the GRUB boot loader will begin.  If GRUB detects 
other operating systems, you may be presented with a screen asking if you want to “install the 
GRUB boot loader to the master boot record.”  Choose “no” and press the “enter” key. If you do
not see this screen, continue to the next step.

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

16. Next, you will be asked if you want to “Install the GRUB boot loader on a hard disk.” In step 2 

of this chapter, you were instructed to make a note of the device name that was the USB flash 
drive where you were installing Debian.  The example used in this tutorial was “sdc.”  Scroll 
down to the name of the device where you installed Debian and press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

17. Now the installer will go through the process of finishing the installation. You may reach a 

screen that asks if ”the system clock is set to UTC.” Select “no” and press “enter.” If you don't 
see this screen, skip to the next step.

18. Now the installer will go through the process of finishing the installation. You will eventually 

be informed that the installation is complete. Select “continue” and press “enter.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

19. The installer will eventually reboot your computer.  As your computer restarts, you need to get 

into a boot menu again in the same manner the you did in step 1 of chapter 1D.  When you 
activate the boot menu, choose your USB flash drive on which you installed Debian. 
Eventually, you will be prompted to choose a boot selection.  It will default to Debian and, thus,
you can either press “enter” or wait for the timer to run out.  The example screen below may not
look exactly the same as your's.  But, it is essentially the same thing.

NOTE: If the installation process took long enough to make you run out of time, you can power
off your computer at this point. You can then continue from this step at a later time.
 

TROUBLESHOOTING NOTE: If you do not get to the GRUB menu pictured above after 

trying to boot from your USB disk and are presented with a black screen or flashing cursor, 

please refer to Appendix A of this guide.

  You have most likely encountered a fairly common bug 

involving GRUB and Debian.  The fix is fairly simple. 

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

20. The next screen will prompt you to “enter passphrase.” This is the encryption passphrase you 

created in step 6 of this chapter. You will not see any symbols on your screen when you type 
your password.  While this may seem odd, it is for security reasons. Someone watching your 
screen won't be able to determine the length of your passphrase. Type your passphrase and press
“enter.”

21. Debian will now go through its boot process. Eventually you will reach the login window. 

When you reach the login window, press “enter” or click on “user.”

Chapter 2A. Installing an Operating System on an Encrypted USB Flash Drive
background image

22. On the next screen, you will be prompted for your password. Before typing your password, 

click on the gear icon next to the “Sign In” button and select “GNOME Classic.” Then, type the
password you created for “user” in step 13 of chapter 1D and press “enter.”  Debian will use 
“GNOME Classic” for every other login until you choose something different.  

Congratulations! You now have a fully functional encrypted USB flash drive running Debian. At this 
point

continue the tutorial starting from Chapter 3.