Linux verschlüsseln. Reicht /home ?

[12dblow]

Hallo,

ich möchte Debian auf meinem Thinkpad neu installieren. Da ich es für meine ganzen Persönlichen Dinge, wie Emails, Textdokumente und Internet browsen verwende, würde ich das System gerne verschlüsseln wegen evtl. Klau oder Verlust des Laptops.

Ich habe im Hauptslot eine SSD und könnte statt des optischen Laufwerks noch eine Festplatte einbauen. Jetzt habe ich mir überlegt, um das System durch die Verschlüsselung nicht so sehr zu verlangsamen, könnte man doch das System auf der SSD normal installieren und nur die /home Partition auf der Festplatte verschlüsselt anlegen, oder?

- Ist das sinnvoll, bzw. wie stark wird der Laufende Betrieb bei einem vollverschlüsselten System tatsächlich verlangsamt?
- Wenn das restliche System weiterhin unverschlüsselt ist, hinterlasse ich dann immer noch persönliche Daten auf der SSD? Z.b. in /tmp? Durch den Browser etc.

Da ich bisher nur über Linux Grundkenntnisse verfüge, hoffe ich ihr könnt etwas Licht ins dunkel bringen.
Liebe Grüße!

[Radfahrer]

Die Performanceeinbuße bei Vollverschlüsselung ist zu vernachlässigen. Ich habe ein Billignotebook von Fujitsu mit einem langsamen Pentium P6200 und einer normalen HDD. Selbst da bemerke ich keinen Unterschied zwischen normalem und vollverschlüsseltem System.
Wenn du also auf Nummer sicher gehen willst, verschlüssele alles (bis auf die /boot-Partition natürlich).

[wanne]

Die Performanceeinbuße bei Vollverschlüsselung ist zu vernachlässigen.

Das stimmt in fast allen Fällen. Im Normalfall sind die CPUs so überdimensioniert, dass sie die verschlüsslung in der die HD ließt locker nebenher mitmachen können. Nur in der Kombination schnelle SSD und sehr langsame CPU kann man etwas merken. Was hast du den für eine CPU? Neuere CPUs sind extra auf AES verschlüsselung ausgelegt. Die stecken dann auch locker ein vielfaches der Geschwindigkeit einer SSD weg.

Code: Alles auswählen

cat /proc/cpuinfo

Sonst gibt es folgende Anmerkungen:

• SWAP: Da liegen mitunter sogar die Cryptoschlüssel drin. Und bei einer SSD ist es eigentlich sinnvoll SWAP auch zu nutzen.
• /tmp nutzt man heute tyischerweise im tmpfs. => Die daten ligen nicht mehr auf der root-Partition. Wenn du nur home Verschlüsselst ist es sinnvoll das zu nutzen.
• In /var liegen oft noch viele private Infos. Und in /etc gerne mal passwörter.
• SSDs können oft selbst Verschlüsslung in Hardware. (Das passwort kann man im Normalfall mit hdparm setzen.) Dann merkt man dann geschwindgkeitsmäßig natürlich gar nichts. Ich vertraue den Herstellern da aber immer eher weniger. Da gab's in letzter zeit zu viele probleme gab. Auch weil das ATA-Passwort eigentlich zu anderen Zwecken eingeführt wurde und viele BIOSe dass dann ganz gerne mal Speichern.

Eine überlegung könnte auch sein nur /usr auf eine unverschlüsselte Partition auszulagern. Und sonst zu verschlüsseln. Sonst gibt es noch oft sehr viele Zugriffe auf /lib und /bin. Die sind aber so klein, die liegen eh zum großen Teil gecached im RAM und sind so oder so schnell gelesen.

[smutbert]

Was die persönlichen Daten angeht, muss man außer /hom auch noch aufpassen bei

• Swap-Partitionen oder -Dateien
  (kann man auch verschlüsseln oder bei genug Hauptspeicher sogar deaktivieren)
• temporären Dateien
  Die kann man auch in den Hauptspeicher legen, entweder durch einen fstab-Eintrag oder in /etc/default/tmpfs oder mit systemd mit der systemd Unit "tmp.mount". Bei einer Standardinstallation liegt /tmp aber soeit ich weiß auf der SSD bzw. HDD.
• /var
  Hier landen in spool unter anderem Druckaufträge und crontabs der Benutzer und in /var/tmp gibt es ebenfalls temporäre Dateien.

am einfachsten und sichersten ist es also zweifelsohne, so wie Radfahrer geschrieben hat, alles zu verschlüsseln, wenn man verschlüsseln will.

EDIT - da war ich mit meinem Post ja viel zu spät

[12dblow]

Ich habe ein Thinkpad T410 mit i5 Prozessor (2,4GHz). nach der Antwort von Radfahrer hatte ich mich jetzt tatsächlich schon entschlossen, der Vollverschlüsselung eine Chance zu geben. Ich bin gerade dabei, mich durch die Partitionierung zu hangeln...

[Cae]

Im Normalfall sind die CPUs so überdimensioniert, dass sie die verschlüsslung in der die HD ließt locker nebenher mitmachen können.

Ich hab' das schon vorhin in einem anderen Thread gelesen; ja, das ist leistungsmaessig kein Problem, aber gerade bei Laptops ist der Mehrverbrauch an Strom fuer Crypto (und die zugehoerige Waermeentwicklung) ein nicht zu unterschaetzender Faktor. Natuerlich in Abhaengigkeit davon, wieviel man im Normalbetrieb tatsaechlich an I/O hat. Man muesste das mal benchmarken (oder eine Suchmaschine dazu anwerfen).

Gruss Cae

[wanne]

Thinkpad T410 mit i5 Prozessor (2,4GHz).

Das ist glaube ich ein i5-520M? Da solltest du wahrscheinlcih tatsächlich AES nehmen und AES-NI aktivieren, wenn du verschlüsselst.

[12dblow]

Thinkpad T410 mit i5 Prozessor (2,4GHz).

Das ist glaube ich ein i5-520M? Da solltest du wahrscheinlcih tatsächlich AES nehmen und AES-NI aktivieren, wenn du verschlüsselst.

Hi,

wie aktiviere ich AES-NI ?

Gruß.

[wanne]

Ich glaube Debian macht das automatisch.
Teste einfach damit

Code: Alles auswählen

lsmod | grep aes

da sollte dann aesni-intel drin sein.
Sonst aktiviert man das temporär mit

Code: Alles auswählen

modprobe aesni-intel

Und dauerhaft (als root):

Code: Alles auswählen

echo aesni-intel >> /etc/initramfs-tools/modules
update-initramfs -u

Wie gesagt ist zumindest wheezy glaube ich selbst so intelligent das automatisch zu machen.

[12dblow]

Code: Alles auswählen

aesni_intel            50667  16 
aes_x86_64             16843  1 aesni_intel
aes_generic            33026  2 aes_x86_64,aesni_intel
cryptd                 14517  6 aesni_intel,ghash_clmulni_intel

Ist also alles wies sein soll, ne? Mich üerzeugt die Geschwindigkeit bis jetzt auch, rennt wie ne Eins. Zumindest bei dem normalen Desktop und Browser Kram.

[dufty2]

Sehr weise Entscheidung nicht nur /home zu verschlüsseln,
die Gründe hierzu wurden ja von wanne et al. schon dargelegt.

Nun ist aber nicht aller Tage Abend, denn
http://sockpuppet.org/blog/2014/04/30/y ... -want-xts/
Daher wirklich wichtiges zusätzlich als Datei verschlüsseln und ablegen.

[wanne]

Ist also alles wies sein soll, ne?

Ja. Alles wunderbar. Solange du nur AES verwendest sollte das rennen.

[chris2012]

Ich würde auch die ganze Platte verschlüsseln, ansonsten wird ein Evil Maid Angriff auf Home einfacher!

[justme2h]

Solange du nur AES verwendest sollte das rennen.

Ich häng mich mal durch hier dran:
Kann ich nachträglich überprüfen/nachschauen, mit welchen Parametern (Algorithmus, Schlüssellänge z.B.) eine Festplatte verschlüsselt worden ist?

[cronoik]

Code: Alles auswählen

cat /etc/crypttab

dann nimmst du einen Wert aus der ersten Spalte und ersetzt WERT in folgendem

Code: Alles auswählen

cryptsetup status WERT

[justme2h]

Code: Alles auswählen

cat /etc/crypttab

dann nimmst du einen Wert aus der ersten Spalte und ersetzt WERT in folgendem

Code: Alles auswählen

cryptsetup status WERT

Danke!