Hallo,
meine Idee ist folgende:
Ich möchte mein System komplett verschlüsseln. Während des bootens soll alles automatisch entschlüsselt werden.
Und zwar liegen die Schlüsseldateien auf einem USB-Stick der ebenfalls verschlüsselt ist.
Dieser soll ganz als erstes mit manueller Passworteingabe entschlüsselt werden.
Man braucht also drei Dinge um das System zu verschlüsseln: Den PC selbst, den USB-Stick und das Passwort um den Stick zu entschlüsseln.
Leider weiß ich nicht wie ich das so umsetzen könnte.
Wie ich die root-Partition manuell während des Bootvorgangs entschlüsseln kann weiß ich. Auch wie ich das ganze automatisiert über einen Stick löse. Aber in dem Fall ist der Stick eben leider unverschlüsselt. Und das bedeutet wiederrum, jeder der diesen Stick in den Fingern hat kann mein System entschlüsseln. Das mag ich eigentlich gar nicht.
Kennt vielleicht jemand hier eine Lösung für mein Problem diesbezüglich?
Oder vielleicht hat es auch einen Grund, dass ich keine Lösungen finden kann.
Weißt meine Denkweise irgendwelche Logikfehler auf die ich nicht sehe?
Gruß
Rosenrot
Kann man ein verschlüsseltes System von einem verschlüsselten USB-Stick entschlüsseln
Re: Kann man ein verschlüsseltes System von einem verschlüsselten USB-Stick entschlüsseln
Weil das nicht möglich ist.
Und ganz unabhängig davon, dass das so nicht möglich ist, entspricht das in etwa der Logik, seine Kreditkarte oder EC-Karte nicht in der Geldbörse oder Brieftasche zu transportieren, sondern in einer Stahlkassette im Rucksack. Du solltest noch mal über Deine Idee nachdenken... die ist ziemlich abgefahren..... sorry...Rosenrot hat geschrieben:19.08.2017 22:30:18Und das bedeutet wiederrum, jeder der diesen Stick in den Fingern hat kann mein System entschlüsseln. Das mag ich eigentlich gar nicht.
Re: Kann man ein verschlüsseltes System von einem verschlüsselten USB-Stick entschlüsseln
Man könnte /boot und die LUKS-Header auf den Stick tun, und damit dann das eigentliche System booten.
… ist auch nicht ganz richtig, weil man sich sehr wohl sowas zusammenbasteln könnte. Zum Beispiel könnte man im System der initrd ein Script starten, das seinerseits die Passphrase für den Stick abfragt, diesen entschlüsselt, sich den Schlüssel für die eigentliche Partition holt und diese entschlüsselt. Ist halt sehr umständlich, und damit fehleranfällig – ich würde o.g. Lösung bevorzugen.Weil das nicht möglich ist.
Re: Kann man ein verschlüsseltes System von einem verschlüsselten USB-Stick entschlüsseln
Ich weiss das. Aber ich beurteile das, was möglich ist, nach den (vermuteten) Grenzen desjenigen, der das umsetzen soll. Und deshalb halte ich das hier für unmöglich. Wenn ich mich täuschen sollte... nun ja... dann entschuldige ich mich.niemand hat geschrieben:20.08.2017 10:46:24… ist auch nicht ganz richtig, weil man sich sehr wohl sowas zusammenbasteln könnte.
Aber davon losgelöst denke ich sowieso, dass nicht alles, was möglich ist, auch zwangsläufig sinnvoll ist. Bei diesem Vorhaben habe ich jedenfalls große Zweifel.