luks vs luks2

[Trollkirsche]

Hallo,

Da die Debian Live Version auf der Stable Distro beruht, kann ich nicht mehr per Live Version auf meine mit luks2 installierte, verschlüsselte Testing Distro zugreifen! Ich nehme mal an das auf der Live Version luks2 noch nicht implementiert ist?

Wie kann ich das Problem umgehen? Gibt es eine andere live distro, zb. ubuntu, die mir den zugriff auf das luks2 volume erlaubt? Oder muss ich jetzt auch die stable version benutzen, damit wieder alles kompatibel ist?

Gruss,

[novalix]

Geht das wirklich nicht oder gehst Du einfach davon aus, dass es nicht gehen würde?
Immerhin soll luks2 ja rückwärtskompatibel sein.
Aber vielleicht bezieht sich das auch nur auf den Fall, dass man mit luks2 auf luks1 verschlüsselte Partitionen zugreift.

[Trollkirsche]

Geht das wirklich nicht oder gehst Du einfach davon aus, dass es nicht gehen würde?
Immerhin soll luks2 ja rückwärtskompatibel sein.
Aber vielleicht bezieht sich das auch nur auf den Fall, dass man mit luks2 auf luks1 verschlüsselte Partitionen zugreift.

Du hast meinen Beitrag nicht richtig gelesen. Das Problem ist nicht, dass luks2 rückwärtskompatibel ist, sondern das Problem besteht darin, dass die Live Version auf Stable Distro besteht und in der Stable Distro luks2 noch nicht implementiert ist. Du kannst von Luks nicht auf Luks2 zugreifen.

Und da keine live Version mit Luks2 existiert (da luks1), kann ich nicht über eine Live CD auf die verschlüsselte Testing luks2 Partition zugreifen.

Kann mir daher einer sagen, ob linux mint live cd oder ubuntu live version bereits luks2 implementiert ist? Dann würde ich diese Distro nehmen, um darauf zuzugreifen.

Ansonsten muss ich stable installieren und auf testing verzichten.

Danke,

[TomL]

Gibt es eine andere live distro ...

grml, 2018.12

Code: Alles auswählen

ii  cryptsetup                     2:2.0.6-1           all          transitional dummy package for cryptsetup-{run,initramfs}
ii  cryptsetup-bin                 2:2.0.6-1           amd64        disk encryption support - command line tools
ii  cryptsetup-initramfs           2:2.0.6-1           all          disk encryption support - initramfs integration
ii  cryptsetup-run                 2:2.0.6-1           amd64        disk encryption support - startup scripts
ii  grml-crypt                     0.27                all          wrapper around cryptsetup-luks
ii  libcryptsetup12:amd64          2:2.0.6-1           amd64        disk encryption support - shared library

[Trollkirsche]

Gibt es eine andere live distro ...

grml, 2018.12

Code: Alles auswählen

ii  cryptsetup                     2:2.0.6-1           all          transitional dummy package for cryptsetup-{run,initramfs}
ii  cryptsetup-bin                 2:2.0.6-1           amd64        disk encryption support - command line tools
ii  cryptsetup-initramfs           2:2.0.6-1           all          disk encryption support - initramfs integration
ii  cryptsetup-run                 2:2.0.6-1           amd64        disk encryption support - startup scripts
ii  grml-crypt                     0.27                all          wrapper around cryptsetup-luks
ii  libcryptsetup12:amd64          2:2.0.6-1           amd64        disk encryption support - shared library

Oha. Bezieht sich das auf die Live Version?

Warum kann ich dann nicht auf die Partition zugreifen?

Probiert habe ich von der 9.8.0 Live CD :

cryptsetup open --type luks2 /dev/sdx sdx_crypt

Bis dann!

[Trollkirsche]

Grad nachgeschaut.

Wenn ich von einer debian live cd cryptsetup nachträglich installiere und die version abrufe, erhalte ich die Version 1.7.3 und nicht 2.

Wer von euch kann mir sagen wie ich eine Version 2 von cryptsetup installieren kann?

[TomL]

Oha. Bezieht sich das auf die Live Version?

Ja, sicher, grml 2018.12 ist ein auf Debian basierendes Live-OS, welches man vom USB-Stick starten kann.

[debianoli]

Du kannst doch auch während ein Live-CD-Session Programme nachinstallieren. Einfach Konsole öffnen, zu Root werden und apt-get update install etc

[Trollkirsche]

Du kannst doch auch während ein Live-CD-Session Programme nachinstallieren. Einfach Konsole öffnen, zu Root werden und apt-get update install etc

Das hab ich gemacht. cryptsetup befindet sich meines Wissens nicht auf einer live cd, das muss man erst per apt-get install cryptsetup nachinstallieren.

Die von mir angegebene Version ist dementsprechend die nachinstallierte cryptversion.

Oder lautet der Name der crytsetup, die luks2 ebenfalls unterstützt, anders?

Bis dann!

[debianoli]

Du brauchst Debian Buster für luks :2.1.0, siehe https://packages.debian.org/search?suit ... cryptsetup

Mit deiner Stretch Live-CD geht das nicht.

Und oben hast du doch eine Lösung präsentiert bekommen mit grml http://grml.org/

[Trollkirsche]

Du brauchst Debian Buster für luks :2.1.0, siehe https://packages.debian.org/search?suit ... cryptsetup

Mit deiner Stretch Live-CD geht das nicht.

Und oben hast du doch eine Lösung präsentiert bekommen mit grml http://grml.org/

Megaspace. Vorhin wollte ich mir grml per live distro runterladen und bin auf eine Seite ohne https gelandet.
Dort hatte man die Möglichkeit, auszwählen ob man die 32er oder 64er version wollte oder auch Bittorrent.

Ich habe dann einmal die normale http Version runtergeladen und dann die Bittorrent Version und habe die beiden per diff Befehl miteinander verglichen.

Sie waren unterschiedlich.

Jetzt wo ich deinen Link öffne, ist die Seite gänzlich eine andere... Auf dieser besteht keine Möglichkeit, die Bittorrent Version runterzladen.

Versteh ich nicht....

[TomL]

Sie waren unterschiedlich. Jetzt wo ich deinen Link öffne, ist die Seite gänzlich eine andere... Auf dieser besteht keine Möglichkeit, die Bittorrent Version runterzladen.

Gibt es einen Grund dafür, dass Du statt "einfach" laufend "kompliziert" wählst?

Warum lädst Du das Iso nicht hier runter: http://grml.org/download/
und machst anschließend das, was auf der Seite empfohlen wird... und zwar einen gnupg-verify? Und wenn dabei nicht gemeckert wird, gibts imho keinen Grund, sich noch weitere Gedanken über Bittorent-Alternativen zu machen.

[Trollkirsche]

Sie waren unterschiedlich. Jetzt wo ich deinen Link öffne, ist die Seite gänzlich eine andere... Auf dieser besteht keine Möglichkeit, die Bittorrent Version runterzladen.

Gibt es einen Grund dafür, dass Du statt "einfach" laufend "kompliziert" wählst?

Warum lädst Du das Iso nicht hier runter: http://grml.org/download/
und machst anschließend das, was auf der Seite empfohlen wird... und zwar einen gnupg-verify? Und wenn dabei nicht gemeckert wird, gibts imho keinen Grund, sich noch weitere Gedanken über Bittorent-Alternativen zu machen.

Ich muss ehrlich gestehen, ich kenne mich mit gpg nicht soo gut aus und weiss nicht wie ich gewährleisten kann, dass das iso auch wirklich vertrauenswürdig ist.

Ich werd mich da wohl noch tiefer einarbeiten müssen.

Meinem Verständnis nach kann man die Vertrauenswürdigkeit ja nur gewährleisten, wenn der schlüssel woanders runtergeladen wurde als auf der Seite, auf der das ISO angeboten wird?

Bis dann!

[TomL]

Meinem Verständnis nach kann man die Vertrauenswürdigkeit ja nur gewährleisten, wenn der schlüssel woanders runtergeladen wurde als auf der Seite, auf der das ISO angeboten wird?

Das ist bei gnupg etwas anders. Der grml-maintainer hat mit gnupg einen Privat-Key erzeugt, der (hoffentlich) nicht öffentlich zugänglich ist. Du wirst diesen Private-Key jedenfalls nirgends runterladen können. Zusätzlich zu seinem geheimen Privat-Key wurde mit gpg ein dazu passender öffentlicher Public-Key erzeugt. Mit seinem Privat-Key hat er eine Signatur für das Installer-Iso erzeugt, also sowas wie eine Echtheitszertifikat. Du kannst nun mit dem Signaturfile, dem Pubkey und dem Iso die Echtheit des Iso's verifizieren. Wie der Fingerprint aussieht und wer der Keyfile-Ersteller war , steht ebenfalls auf der Seite, das wird weiterhin auch wieder beim importierten pubkey angezeigt. Ich denke nicht, dass auf der Seite unbemerkt geschummelt werden kann... da muss ja dann alles offen lesbare und dazu passend auch alle Prüffiles angepackt werden.

Ich hoffe, dass ich das richtig wiedergegeben habe....

[debianoli]

Kleiner Tipp zu grml :

Grml setzt auf die Shell ksh und nicht die bash. Du kannst die bash aber mit /bin/bash aufrufen. Das macht es leichter, da fast alle Hilfeseiten, Dokus etc die Bash-Syntax nutzen und die ksh andere Befehle hat.

[DeletedUserReAsG]

Grml setzt auf die Shell ksh und nicht die bash.

Eigentlich startet es per Default die zsh (die hier ziemlich gut konfiguriert ist, nebenbei bemerkt – gibt nicht wenige Leute, welche die Konfiguration auch in anderen Systemen nutzen).

Für das, was die Meisten mit der Shell machen, ist’s ausreichend ähnlich zur Bash, um damit zurechtzukommen. Man muss allerdings die Strings etwas konsequenter quoten.

[debianoli]

Eigentlich startet es per Default die zsh (die hier ziemlich gut konfiguriert ist, nebenbei bemerkt – gibt nicht wenige Leute, welche die Konfiguration auch in anderen Systemen nutzen).

Hatte das heute morgen auf die Schnelle geschrieben, danke für den Hinweis.

Das "Problem" bei der zsh ist eher, dass man da nicht 1 zu 1 alles von der Bash übertragen kann. Gerade wenn man nicht besonders tief in der Materie steckt, kann das dann in der Praxis Schwierigkeiten machen. So waren meine Erfahrungen mit grml, das ansonsten ein sehr gutes Tool ist.

[Trollkirsche]

Meinem Verständnis nach kann man die Vertrauenswürdigkeit ja nur gewährleisten, wenn der schlüssel woanders runtergeladen wurde als auf der Seite, auf der das ISO angeboten wird?

Das ist bei gnupg etwas anders. Der grml-maintainer hat mit gnupg einen Privat-Key erzeugt, der (hoffentlich) nicht öffentlich zugänglich ist. Du wirst diesen Private-Key jedenfalls nirgends runterladen können. Zusätzlich zu seinem geheimen Privat-Key wurde mit gpg ein dazu passender öffentlicher Public-Key erzeugt. Mit seinem Privat-Key hat er eine Signatur für das Installer-Iso erzeugt, also sowas wie eine Echtheitszertifikat. Du kannst nun mit dem Signaturfile, dem Pubkey und dem Iso die Echtheit des Iso's verifizieren. Wie der Fingerprint aussieht und wer der Keyfile-Ersteller war , steht ebenfalls auf der Seite, das wird weiterhin auch wieder beim importierten pubkey angezeigt. Ich denke nicht, dass auf der Seite unbemerkt geschummelt werden kann... da muss ja dann alles offen lesbare und dazu passend auch alle Prüffiles angepackt werden.

Ich hoffe, dass ich das richtig wiedergegeben habe....

Erstmal ein ganz grossed Dankeschön an euch allen!

Es ist fantastisch wie ihr einem unter die Arme greift und ihm die Dinge erklärt. Eure Hilfe ist wahrhaft von nobler Art! Ich weiss sie extrem zu schätzen.

Für deine Ausführung danke ich dir. Nun ist das Prinzip klar. Ich wusste gpg zwar im Mailbereich einzusetzen, aber hab sie gnupg nie verwendet, um eine Datei zu signieren.

Dennoch ist mir etwas immer noch nicht klar:

Wie kann es sein, dass wenn ich auf der Arbeit "grml.org" eingebe, eine andere Seite angezeigt bekomme als wenn ich auf den hier im Forum genannten Link klicke?

Bei der einen Seite (http://) kann ich eine Torrent Datei runterladen.

Auf der https Seite sehe ich die Möglichkeit von Mirrors runterzuladen:
Download from a specific mirror

Direct download links:
Grml96 full ISO [Signature]
Grml64 full ISO [Signature]
Grml32 full ISO [Signature]
Grml96 small ISO [Signature]
Grml64 small ISO [Signature]
Grml32 small ISO [Signature]

Ich sehe folgenden Fingerprint auf der HP:
Key fingerprint = 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737

Bei der überprüfung des Isos bekomme ich folgenden Output:

gpg --verify grml64-full_2018.12.iso.asc grml64-full_2018.12.iso
gpg: Signature made Son 30 Dez 2018 16:18:46 CET
gpg: using RSA key 33CCB136401AFEC843A3876396A87872B7EA3737
gpg: Good signature from "Michael Prokop <mail@michael-prokop.at>" [unknown]
gpg: aka "Michael Prokop <mika@grml.org>" [unknown]
gpg: aka "Michael Prokop <mika@debian.org>" [unknown]
gpg: aka "Michael Prokop <prokop@grml-solutions.com>" [unknown]
gpg: aka "Michael Prokop <michael.prokop@synpro.solutions>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737

Wenn ich das nun richtig verstanden habe, dann zeigt der Fingerprint und das "Good signature", dass die überprüfung erfolgreich war?



Bis dann!

[willy4711]

Ich würde ja gerne Verstehen, was das alles bewirken soll:

Da die Debian Live Version auf der Stable Distro beruht, kann ich nicht mehr per Live Version auf meine mit luks2 installierte, verschlüsselte Testing Distro zugreifen! Ich nehme mal an das auf der Live Version luks2 noch nicht implementiert ist?

Du hast also ein System (welches hast du ja noch nicht verraten) auf dem eine mit Luks2 verschlüsselte Partition besteht,
auf der Debian Testing installiert ist (oder nur Daten ?) .

Auf diese Partition willst du unbedingt mit einer Live- CD zugreifen, da das von deinem bestehenden System aus nicht geht ?
Ich vermute einfach mal, dass das Debian 9.8, also Stable ist, oder was anderes ?

Wie hast du denn die Partition dann angelegt?

Oder hast du bei der Installation der vermeintlichen "Debian Testing Distro" was falsch gemacht
und bekommst sie jetzt nicht gestartet?

Die Möglichkeit, das bestehende System auf Buster zu upgraden schließt du von vornherein aus. (warum ?)

Stattdessen wird über die Sicherheit von der Webseite von Grml herum diskutiert.

Es gibt natürlich auch Testing Live-CD's von Debian, falls du dem mehr vertraust, die die geforderte Version von cryptsetup 2:2.1.0-2 enthalten.
http://cdimage.debian.org/cdimage/unoff ... so-hybrid/

Nichtsdestotrotz würde mich schon interessieren, was der eigentliche Grund für dieses Vorgehen ist.
Es kann ja wohl nicht dauerhaft praktikabel sein, dass man auf eine Partition mit einer Live-CD (USB-Stick) zugreifen will ???

[Trollkirsche]

Ich würde ja gerne Verstehen, was das alles bewirken soll:

Da die Debian Live Version auf der Stable Distro beruht, kann ich nicht mehr per Live Version auf meine mit luks2 installierte, verschlüsselte Testing Distro zugreifen! Ich nehme mal an das auf der Live Version luks2 noch nicht implementiert ist?

Du hast also ein System (welches hast du ja noch nicht verraten) auf dem eine mit Luks2 verschlüsselte Partition besteht,
auf der Debian Testing installiert ist (oder nur Daten ?) .

Auf diese Partition willst du unbedingt mit einer Live- CD zugreifen, da das von deinem bestehenden System aus nicht geht ?
Ich vermute einfach mal, dass das Debian 9.8, also Stable ist, oder was anderes ?

Wie hast du denn die Partition dann angelegt?

Oder hast du bei der Installation der vermeintlichen "Debian Testing Distro" was falsch gemacht
und bekommst sie jetzt nicht gestartet?

Die Möglichkeit, das bestehende System auf Buster zu upgraden schließt du von vornherein aus. (warum ?)

Stattdessen wird über die Sicherheit von der Webseite von Grml herum diskutiert.

Es gibt natürlich auch Testing Live-CD's von Debian, falls du dem mehr vertraust, die die geforderte Version von cryptsetup 2:2.1.0-2 enthalten.
http://cdimage.debian.org/cdimage/unoff ... so-hybrid/

Nichtsdestotrotz würde mich schon interessieren, was der eigentliche Grund für dieses Vorgehen ist.
Es kann ja wohl nicht dauerhaft praktikabel sein, dass man auf eine Partition mit einer Live-CD (USB-Stick) zugreifen will ???

Hallo

Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.

Sicherheit ist mir sehr wichtig. Deshalb will ich sichergehen, dass die Authenzität des grml images gewährleistet ist. Irritieren tut mich, dass ich auf der Arbeit zb. auf eine http Seite lande, die gänzlich anders ist als die hier beim Link angegebene (https). Bei der http Seite kann ich eine Bittorrent Version runterladen zb., während das bei der https Version nicht der Fall ist.

Zudem hat die "diff" überprüfung der isos, einmal runtergeladen als bittorrent und einmal als http, eine differenz ergeben. Das fand ich doch höchst merkwürdig und spricht dafür, dass es sich um eine manipulierte iso handeln muss.

Was ich noch nicht ganz verstehe : Rein theoretisch müsste man doch den gnupg Schlüssel von woanders runterladen, als von der gleichen Seite? Nehmen wir an ein Angreifer faked die Seite, dann kann er doch rein theoretisch den fingerprint seines schlüssels angeben, die manipulierte iso mit seinem privaten schlüssel signieren und somit vorgeben, dass die Authenzität gewährleistet ist, während man im Grunde doch nur eine gefakte Version runterlädt?

Daher habe ich mal sicherheitshalber den fingerprint oben gepostet. Falls einer von euch überprüfen könnte, dass er denselben fingerprint für den schlüssel erhält, wäre ich sehr dankbar

Bezüglich der debian live version die du gepostet hast : Ist das nicht eine non-free Edition? Ich probiere lieber auf proprietäre Software zu verzichten...

Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt. Ich bin euch jedenfalls sehr dankbar das ihr euch soviel Zeit und Mühe für mich nehmt!

Wünsche allen eine Gute Nacht,

[willy4711]

Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.

Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt.

Das hast du schon.
Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.
Deine ganzen Überlegungen sind somit hinfällig.

Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.

Höre dir dieses Interview am besten 10 Mal an und relativiere dann dein Sicherheitsbedürfnis.

Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald.

[debianoli]

Zu deinem Problem mit grml.org: Die Seite hat keine automatische Weiterleitung von http auf https. Ist wohl vergessen worden. Und wenn dir in der Arbeit eine etwas andere Seite angezeigt wird, kann es am Cache des Browsers oder dem Firmen-Proxy deiner Arbeit liegen.

[Trollkirsche]

Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.

Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt.

Das hast du schon.
Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.
Deine ganzen Überlegungen sind somit hinfällig.

Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.

Höre dir dieses Interview am besten 10 Mal an und relativiere dann dein Sicherheitsbedürfnis.

Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald.

Hi Leute,

Tut mir leid das ich erst jetzt Zeit für eine Antwort gefunden habe...

Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.

Nein, dass die Buster Version schon bald stable wird, wusste ich nicht, freut mich aber sehr!

Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.

Nunja, das kommt darauf an. Bloss weil gewisse Schweinereien im Gange sind ist das ja kein Grund, seine Sicherheitsstandards zu vernachlässigen. Zudem lernt man ja nie aus, gerade im Bereich der IT Security.

Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald.

Ich misstraue Debian keineswegs, sonst würde ich diese Distribution gar nicht erst einsetzen... Ganz im Gegenteil : Ich erachte die Debian Distro als die beste der Welt

Nochmals Danke an alle für eure Hilfe!