Hallo liebe Sicherheitsfanatiker,
dieser Thread
Entschlüsseln mit einem USB-Schlüssel: "Kein Schlüssel...
hat mich daran erinnert, dass ich mich auch schon längere Zeit einmal damit auseinandersetzen wollte. Ich will aber den genannten Thread nicht kidnappen, aber vielleicht profitiert pachhenk ja trotzdem von der einen oder anderen Erläuterung hier, von denen hoffentlich noch einige folgen — Fragen von mir folgen auf jeden Fall noch in späteren Posts.
Im ersten Beitrag schreibe ich einfach einmal, was ich zum Prinzip von LUKS zu wissen glaube (bitte korrigiert mich, wenn ich irgendwo falsch liege):
Bei LUKS gibt es vor den eigentlichen verschlüsselten Daten einen Header, in dem alle möglichen Informationen stehen, etwa der Verschlüsselungsalgorithmus, die Länge und Prüfsumme des Schlüssels (Master-Key) usw.
Der Master-Key mit dem die Daten verschlüsselt werden, wird sodann ebenfalls verschlüsselt in den Key-Slots gespeichert. Die acht Key-Slots sind soweit ich weiß Speicherbereiche zwischen dem LUKS-Header und den eigentlichen verschlüsselten Daten.
Die Schlüssel mit denen der Master-Key verschlüsselt wird, werden von Passphrases abgeleitet. Das heißt man hat man muss nur einen von maximal 8 verschiedenen gültigen Passphrases haben, um den Master-Key entschlüsseln und in weiterer Folge damit die Daten entschlüsseln zu können.
So kann man gültige Passphrases ändern, hinzufügen oder löschen, würde man dagegen die Daten direkt mit einem aus einer Passphrase abgeleiteten Schlüssel verschlüsseln, wäre man auf diesen Schlüssel festgenagelt.
Unangenehm ist die Tatsache, dass man sich bei Flashpeichern, zB SSDs wegen Wear-Leveling, Over-Provisioning, usw. wohl nicht 100%ig sicher sein kann, dass ein Speicherbereich tatsächlich gelöscht wurde und die Daten nicht doch noch auf irgendwelchen Speicherzellen stehen. Will man also eine Passphrase ungültig machen und löscht deswegen den Inhalt eines Key-Slots, könnte es sein, dass die Übung umsonst war.
lg smutbert
Nebenthread zu "Entschlüsseln mit einem USB-Schlüssel: "Kein
Re: Nebenthread zu "Entschlüsseln mit einem USB-Schlüssel: "
Wenn es keine Einwände gibt, dann fange ich mit meinen Fragen an:
Wenn ich es richtig sehe, ist man ohne luks selbst dafür verantwortlich den Schlüssel zu erzeugen und zu speichern. Wäre es ohne luks nicht sogar einfacher, wenn man den Schlüssel ohnehin einfach nur auf einem USB-Stick speichern will?
Oder wäre es keine gute Idee den Schlüssel und damit das Äquivalent zum Masterkey einfach notgedrungenerweise wohl unverschlüsselt auf einem USB-Stick zu speichern?
Wenn man nach der Anleitung, die dem anderen Thread zugrunde liegt vorgeht [1], [2] und doch luks verwendet, was genau speichert man dann auf dem USB-Stick eigentlich (wenn man es richtig macht)? Doch nicht etwa den Masterkey sondern einen Schlüssel mit dem der Masterkey dann verschlüsselt und in einem Key-Slot gespeichert wird, oder?
(Irgendwie vermitteln die meisten Anleitungen und Artikel zu dem Thema keinen richtigen Überblick darüber was man eigentlich tut bzw. tun sollte. Mein Eindruck ist, dass auch pachhenk im anderen Thread aus diesen Grund scheitert.)
[1] http://wiki.debianforum.de/Cryptsetup_m ... _USB-Stick
[2] http://wiki.ubuntuusers.de/System_versc ... %C3%BCssel
Wenn ich es richtig sehe, ist man ohne luks selbst dafür verantwortlich den Schlüssel zu erzeugen und zu speichern. Wäre es ohne luks nicht sogar einfacher, wenn man den Schlüssel ohnehin einfach nur auf einem USB-Stick speichern will?
Oder wäre es keine gute Idee den Schlüssel und damit das Äquivalent zum Masterkey einfach notgedrungenerweise wohl unverschlüsselt auf einem USB-Stick zu speichern?
Wenn man nach der Anleitung, die dem anderen Thread zugrunde liegt vorgeht [1], [2] und doch luks verwendet, was genau speichert man dann auf dem USB-Stick eigentlich (wenn man es richtig macht)? Doch nicht etwa den Masterkey sondern einen Schlüssel mit dem der Masterkey dann verschlüsselt und in einem Key-Slot gespeichert wird, oder?
(Irgendwie vermitteln die meisten Anleitungen und Artikel zu dem Thema keinen richtigen Überblick darüber was man eigentlich tut bzw. tun sollte. Mein Eindruck ist, dass auch pachhenk im anderen Thread aus diesen Grund scheitert.)
[1] http://wiki.debianforum.de/Cryptsetup_m ... _USB-Stick
[2] http://wiki.ubuntuusers.de/System_versc ... %C3%BCssel