[gelöst]Festplattenverschlüsselung

[paul1234]

Hallo,
wie seht Ihr das: ist eine Festplattenverschlüsselung unbedingt zu empfehlen? Kann ich die nach der Installation noch machen?
PS: swo viele Daten hab ich ja noch nicht drauf u. ich hab ja eine NAS wo ich alles hinschieben könnte, wenn ich nochmal neu aufsetzen müßte. Und: wird das System durch die Verschlüsselung deutlich langsamer?
Zur Zeit läuft meine Kiste nämlich ziemlich schnell

Danke vorab!

Gruß paul!

[DeletedUserReAsG]

wie seht Ihr das: ist eine Festplattenverschlüsselung unbedingt zu empfehlen?

Kommt auf dein Sicherheitsbedürfnis an.

Kann ich die nach der Installation noch machen?

Kommt darauf an, was genau du verschlüsseln möchtest und ob du ggf. Platz zum Zwischenlagern der Daten hast.

wird das System durch die Verschlüsselung deutlich langsamer?

Kommt drauf an, was du für eine Maschine hast.

[paul1234]

wie seht Ihr das: ist eine Festplattenverschlüsselung unbedingt zu empfehlen?

Kommt auf dein Sicherheitsbedürfnis an.

Sind denn Kompromitierungen bei unverschlüsselten Systemen häufig?

Kann ich die nach der Installation noch machen?

Kommt darauf an, was genau du verschlüsseln möchtest und ob du ggf. Platz zum Zwischenlagern der Daten hast.

Da ich noch am Anfang stehe, wäre eine Datenauslagerung auf mein NAS kein Problem

wird das System durch die Verschlüsselung deutlich langsamer?

Kommt drauf an, was du für eine Maschine hast.

Thinkpad T520 NW95HMB; i7 2670QM; Intel QM67 Express; NVIDIA NVS 4200M + Intel HD3000; Jessie 8.0; XFCE4
Momentan geschätzte Startzeit: 13 sec

[DeletedUserReAsG]

Eine Verschlüsselung ist genau dann wirksam, wenn die Maschine aus ist. Gegen Angreifer über’s Netz hilft sie damit rein überhaupt nicht, solange betreffendes FS eingehängt ist.

Deine CPU wird Hardware-AES unterstützen, insofern ist da nur mit geringen Performanceverlusten zu rechnen. Wenn du‘s genauer wissen willst, lege halt einen verschlüsselten Container an und mach ein paar Durchsatztests.

[TomL]

Moin

wie seht Ihr das: ist eine Festplattenverschlüsselung unbedingt zu empfehlen? Kann ich die nach der Installation noch machen?

Zu 1 = Jain....

Wie schon jemand (aka niemand) angemerkt hat, bringts wohl eher weniger, wenn die verschlüsselten Daten zur Laufzeit des Systems immer entschlüsselt sind. Falls Du Dir wirklich einen Spion oder Schnüffler einfangen würdest, hätte die Verschlüsselung in diesem Fall keinen Effekt. Anders wäre es, wenn der Fall wie bei mir liegt. Ich verreise oft und viel und lebe währenddessen in 'ner rollenden Pappschachtel - meinem Wohnwagen. Da möchte ich schon, daß meine Daten auf dem alten Laptop gesichert sind, wenn der Wagen irgendwann mal während meiner Abwesenheit aufgebrochen wird und der Laptop gestohlen wird.

Ich verschlüssele meine wenigen wirklich sensiblen und schützenswerten Daten deshalb mit folgenden Überlegungen:
Die wenigsten meiner Daten sind wirklich permanent auf dem Schreibtisch notwendige Daten. Das meiste wurde irgendwann mal erstellt, wurde gespeichert und wartet nun darauf, irgendwann vielleicht noch mal geöffnet, gelesen, wiederverwendet zu werden. Es gibt auch Daten, die regelmäßig bearbeitet werden, wie z.B. meine private Finanzbuchhaltung, aber auch die benötige ich nicht permanent auf dem Schreibtisch, sondern vielleicht 1-2 mal im Monat. Und aktuelle Daten und Dokumente, welche ich im Moment aktiv bearbeite, die ich also auch häufig über Tage (oder länger) hinweg benötige, die speichere ich solange in meinem Homedir, bis ich sie irgendwann in den verschlüsselten Bereich verschiebe. Musik, Filme, Ebooks, Fotos werden überhaupt nicht verschlüsselt, wofür auch... wenn sich jemand an meinen Urlaubsfotos erfreut, schön für ihn....

Ich verschlüssele also nicht meine ganze Festplatte, sondern ich verwende einen verschlüsselten 1 oder 2 GB-Container für die wenigen wirklich sensiblen Daten, den ich bei Bedarf öffne und hinterher direkt wieder schließe.

Zu 2 = Ja

Vielleicht kommst Du ja auch mit diesem kleinen Workshop klar. So hatte ich das im Herbst letzten Jahres für mich umgesetzt und so ist das für mich völlig ausreichend.

Code: Alles auswählen

apt-get install cryptsetup                                        Paket LUKS-Verschlüsselung installieren
modprobe dm-crypt                                                 Kernelmodul laden
                                                                  Künftig werden benötigte Module autom. geladen

Nun wird der Container generiert, verschlüsselt, formatiert und testweise gemountet. Mein Container liegt Zuhause natürlich nicht im lokalen Home-Dir, sondern auf ner Netzplatte. Das bedeutet, Du musst evtl. ein paar Parameter entsprechend Deinen Anforderungen anpassen.

Code: Alles auswählen

                      PathFileNameContainer        Größe in MB    Container erstellen
                      |                            |
dd if=/dev/urandom of=/home/thomas/FooHD.vol bs=1M count=1000

losetup -a                                                        Show Status Loop-Device 
losetup -f                                                        Freies Loop-Device finden
                                                                  Rückgabe-Code = freies Loop-Device
                                                                  -f = find the first  unused  loop  device.
                                                                       If a  file  argument is present, use
                                                                       this device. Otherwise, print its name

losetup /dev/loop0 /home/thomas/FooHD.vol                         Container über Loop-Device einhängen
                                                                  /dev/loop0 muss gegebenenfalls ersetzt werden.

cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/loop0       Initialisieren
                                                                  Passsatz: MeinHochgeheimesPasswort

losetup -a                                                        Vorhandene Devices listen
        /dev/loop0: [001a]:786816 (/home/thomas/FooHD.vol)

cryptsetup luksOpen /dev/loop0 Container                          FooHD.vol mit Alias "Container" öffnen
mkfs.ext4 /dev/mapper/Container                                   Mit ext4 formatieren

mkdir /mnt/FooHD
mount -t ext4 /dev/mapper/Container /FooHD                        mounten

                                                                  Nach Ende der Arbeit aufräumen
umount /mnt/FooHD                                                 - unmounten
cryptsetup luksClose Container                                    - Container schließen
losetup /dev/loop0 -d                                             - loopdevice freigeben/löschen
rmdir /mnt/FooHD                                                  - Work-Dir löschen

Ab diesem Moment, wenn der Container einmalig erstellt wurde, bedarf es nur noch weniger Handgriffe, um ihn zu öffnen

Code: Alles auswählen

losetup /dev/loop0 /home/thomas/FooHD.vol                         Device verbinden 
  cryptsetup luksOpen /dev/loop0 Container                        FooHD.vol mit Alias "Container" öffnen
    mkdir /mnt/FooHD
      mount -t ext4 /dev/mapper/Container /mnt/FooHD              mounten
      umount /mnt/FooHD                                           unmounten
    rmdir /mnt/FooHD                                              Work-Dir löschen
  cryptsetup luksClose Container                                  Container schließen
losetup -d /dev/loop0                                             Loop-Device freigeben/löschen

Und das kann man dann noch mit einem kleinen Script in /usr/local/bin automatisieren. Dazu ist es erforderlich, dass Password analog zu den Samba-Credentials einmalig in seinem Homedir zu speichern. Wobei hier anzumerken ist, dass man das natürlich NICHT auf einem mobilen Gerät machen sollte, sondern wirklich nur zuhause, wo eigentlich kein Zugriff von fremden Personen auf den Rechner und direkt am Rechner möglich ist. Wenn man das Password nicht speichern will, muß man es eben von Hand eingeben, oder als manuell eingegebenen Parameter dem Script mitgeben... da ist dann aber noch eine Anpassung im Script notwendig.

Code: Alles auswählen

echo password meinhochgeheimespassword >/home/thomas/.FooHDCredentials
chmod 700 /home/thomas/.FooHDCredentials

Und nun öffnet dieses Terminal-Script den Container und stellt mir bei Bedarf temporär meine verschlüsselten Daten zur Verfügung:

Code: Alles auswählen

#! /bin/bash
#======================================================================
#  Script-Name : FooHD - Open Crypt-Luks-Container
#  Date        : 23.09.2014
#
#  Setup in    : /usr/local/bin/FooHD 
#                           
#  ToDo        : chown -R root:root /usr/local/bin/FooHD
#              : chmod +x /usr/local/bin/FooHD
#              : Customizing /home/thomas/.FooHDCredentials
#              : Customizing Path-Settings
#
#  Usage only as root!
#
#======================================================================

if [[ $EUID -ne 0 ]]; then
   echo "Achtung: Dieses Script kann nur als  root gestartet werden" 1>&2
   exit 1
fi

if [ -f "/home/thomas/.FooHDCredentials" ]; then
    credentials=$(grep password /home/thomas/.FooHDCredentials | awk '{ print $2 }')
    echo $credentials
fi

if [ -z $credentials ]; then
    echo "Keine .FooHDCredentials gefunden!"
    exit
fi

[ -d "/mnt/FooHD" ] || mkdir "/mnt/FooHD"
    dialog --infobox "Container wird geöffnet!  Bitte Warten." 3 60
    losetup /dev/loop0 /media/home/FooHD.vol
    sleep 2

      echo $credentials|cryptsetup luksOpen /dev/loop0 Container
      sleep 2
	  mount -t ext4 -o rw /dev/mapper/Container /mnt/FooHD
	  dialog --msgbox "Der Container wurde geöffnet und ist bereit!\n\nBitte zum Schließen eine Taste drücken\n" 9 50	  
	  dialog --msgbox "Achtung!!!\n\nBitte alle Programme mit Zugriff auf FooHD schließen.\n\nDer Container wird nach Click auf [OK] oder durch Drücken der Enter-Taste beendet!\n" 12 60	  
	  dialog --infobox "Container wird beendet!  Dieser Vorgang dauert ein paar Sekunden." 3 70
          sync
	  sleep 10

	  umount /mnt/FooHD
      cryptsetup luksClose Container
    losetup -d /dev/loop0
    
[ -d "/mnt/FooHD" ] && rmdir "/mnt/FooHD"
clear
exit

Ich würde mich über ein kurzes Feedback freuen, obs geklappt hat... ansonsten...

HTH

[justme2h]

Bei einem Laptop würde ich es machen, ja. Zum einen, wenn du damit unterwegs bist, kann der Laptop schonmal geklaut werden oder verloren gehen. Zum anderen (wie bereits gesagt wurde) sollte dein Laptop das locker schaffen, ohne das du Performanceverluste hast. Also ich sehe keinen Nachteil, wenn du es machst.

Allerdings empfehle ich immer die komplette Verschlüsselung der Festplatte, bzw. zumindest die Verschlüsselung der Partitionen, die du aktiv nutzt unter Linux. Es kann schnell mal passieren, dass eine private Datei ausversehen auf einem nicht verschlüsselten Bereich der Platte laden, gecached wird und und und.

[paul1234]

ok, danke, die Infos sind ausreichend! Ich werde meine NAS verschlüsseln u. sensible Daten dorthin verschieben

gruß paul!

[DeletedUserReAsG]

Bedenke, dass die meisten Consumer-NAS-Geräte einen schwächlichen ARM-SoC haben, wodurch sich die Verschlüsselung performancetechnisch durchaus negativ bemerkbar machen würde.

[paul1234]

ok, dann vl. nur ein usb-dongle für meine Login-Daten, denn dass ist so das einzige, was ich wahrscheinlich verschlüsseln müßte?

gruß paul!

[wanne]

Ich sehe das wie justme2h. Stört nicht und bei nem Laptop ist die Gefahr doch da das er mal abhanden kommt. Auf meinen Urlaubsbildern auf meinem Server habe ich auch erstmal dafür gesorgt, dass die nur Freunde finden.
BTW: Ich nutze immer 128Bit (bzw 256 bei xts) Schlüssel. Mehr als ausreichend und etwas schneller als 256.

Aber dir sollte grundsätzlich folgendes klar sein:

• Verschlüsseln hilft nur im ungemounteten (also normalerweise ausgeschalteten) Zustand. (Insbesondere im Standby ist der Laptop ungeschützt. Oder nur durch andere Maßnahmen.)
• Verschlüsseln gewährt erstmal nur Vertraulichkeit und keine Integrität. – Hilft also erstmal nicht gegen Manipulation. Es gibt zwar so Verschlüsslungsmodi wie xts, die da versuchen Steine in den Weg zu legen, aber das ist relativ einfach zu umgehen.
• Insbesondere in swap und /var wird relativ viel Zwischengespeichert. Wenn du also anfängst zu verschlüsseln, solltest du die mitverschlüsseln.

[paul1234]

also aus dem Haus gehen wir nicht, mein Laptop, meine NAS u. ich
also werde ich erstmal nur einen Passwort-Dongle besorgen. Hat jemand einen Kauf-Vorschlag?