CryptoFS mit USB-Stick

[weizenbier]

Hallo Freunde,

ich versuche mich gerade an dem Artikel im letzten LinuxMagazin ueber
verschluesselte Partitionen mit Key auf USB-Stick.
Funktioniert soweit auch ganz gut.

Nun moechte ich aber auch, dass der
entschluesselte GPG Key benutzt wird.
Dazu habe ich das Startscript angepasst. Das sieht jetzt so aus

#!/bin/sh -e

case "$1" in
start)
/sbin/modprobe sd_mod
/sbin/modprobe usb-storage
/sbin/modprobe cryptoloop
/sbin/modprobe aes
# Nicht noetig da automount
#/bin/mount -t vfat /dev/sda /mnt/stick
# Originalzeile wie in LinuxMagazin
#/sbin/losetup -e AES128 /dev/loop0 /dev/hdb7 -p 0 < /mnt/stick/key.gpg
gpg --decrypt /mnt/key/key.gpg | /sbin/losetup -e AES128 /dev/loop0 /dev/hdb7 -p 0 < key
/bin/mount -o defaults,users /dev/loop0 /crypto
# Nicht noetig da automount
#/bin/umount /dev/sda
;;
stop)
/bin/umount /dev/loop0
/sbin/losetup -d /dev/loop0
;;
esac

Diese Script liegt nun unter /etc/init.d/crypto und wird in den einzelnen Runlevels beim Booten
gestartet. Leider schlaegt aber die Passwordabfrage fehl, da beim Booten diese Fehelrmeldung kommt

gpg : fatal : ~/.gnupg : can't create directory: no such file or directory

Ich muss daher mein Script immer von Hand starten.

Danke fuer Tipps,

Weizenbier

[zyta2k]

Es wird als root ausgeführt.
Deshalb startet aug gpg als root
Dein root hat aber kein .gpg verzeichnis.

Evt. ist die Lösung die:

Code: Alles auswählen

su DEINUSER -c "gpg --decrypt /mnt/key/key.gpg | /sbin/losetup -e AES128 /dev/loop0 /dev/hdb7 -p 0 < key "

[weizenbier]

Hi zyta2k,

also das mit su hatte ich auch schon im Kopf. Nur funktioniert das nicht
mit dem losetup Befehl wegen fehlender Rechte.

Habe mir die Bootmeldung nochmals angeschaut. Tja habe da was uebersehen. Die komplette
Fehelrmeldung lautet:

gpg : fatal : ~/.gnupg : can't create directory: no such file or directory
secmem usage: 0/0 bytes in 0/0 blocks in pool 0/32768
Error: Password must be at least 20 characters

Es scheint als ob, das Auslesen des Keys vom USB-Stick wohl fehlschlaegt.
Irgendwie muss das ja gehen, wenn selbst SuSe das kann....

Gruss,

Weizenbier

[weizenbier]

Hallo,

habe dies hier gefunden:
http://www.mirrors.wiretapped.net/secur ... ers.README

Hat jemand diese Config am Laufen?
Bekomme folgende Fehlermeldung bei:

zappa:/home/clemens# losetup -F /dev/loop0
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

mit der Zeile in der /etc/fstab

/dev/hdb7 /crypto ext2 defaults,user,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/mnt/stick/key.gpg 0 0

Danke fuer Tipps,

Weizenbier

[weizenbier]

Hi Folks,

habe mal etwas weiter geforscht mit meinen Problem.
Mit diesem Script arbeite ich im Moment:

#!/bin/sh -e

case "$1" in
start)
/sbin/modprobe sd_mod
/sbin/modprobe usb-storage
/sbin/modprobe cryptoloop
/sbin/modprobe aes
export HOME=/root
gpg --no-options --decrypt /mnt/key/key.gpg | /sbin/losetup -e AES128 /dev/loop0 /dev/hdb7 -p 0
/bin/mount -o defaults,users /dev/loop0 /crypto
;;
stop)
/bin/umount /dev/loop0
/sbin/losetup -d /dev/loop0
;;
esac

Ich habe gpg die Option "--no-options" hinzugefuegt und somit die Fehlermeldung

Code: Alles auswählen

gpg : fatal : ~/.gnupg : can't create directory: no such file or directory 

ausgeschaltet. Dafuer habe ich jetzt folgenden Fehlermeldung beim Booten

cannot open '/dev/tty' : no such device or address
Error: Password must be at least 20 characters

Ich verstehe, dasss wohl keine Konsole geoffnet bzw. benutzt werden kann.
Was passiert genau beim Boot-Prozess an der Stelle, wo alle /etc/init.d Scripte abgearbeitet werden? Ich habe mal auch zum Debuggen folgendes
in meine Script vor die gpg Zeile hinzugefuegt:

cat /proc/mounts > /root/debug
env >> /root/debug
ls -al /dev/tty >> /root/debug
ls -al /dev/tty0 >> /root/debug

Nun sieht /root/debug so aus:

rootfs / rootfs rw 0 0
/dev/root / ext3 rw 0 0
proc /proc proc rw 0 0
sysfs /sys sysfs rw 0 0
devpts /dev/pts devpts rw 0 0
tmpfs /dev/shm tmpfs rw 0 0
/dev/hda1 /dos ntfs ro,noatime,nodiratime,uid=0,gid=1002,umask=07,nls=cp437,errors=continue,mft_zone_multiplier=1 0 0
/dev/hdb6 /home ext3 rw 0 0
/dev/hdb5 /share vfat rw,nodiratime,nosuid,nodev,noexec,uid=1000,gid=1005,fmask=0027,dmask=0027,codepage=cp437 0 0
/dev/hda2 /boot ext2 rw 0 0
usbfs /proc/bus/usb usbfs rw 0 0
automount(pid2214) /auto/cdrom autofs rw 0 0
automount(pid2240) /auto/stick autofs rw 0 0
CONSOLE=/dev/console
TERM=linux
INIT_VERSION=sysvinit-2.85
PATH=/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin
RUNLEVEL=2
runlevel=2
PWD=/
PREVLEVEL=N
previous=N
HOME=/root/
SHLVL=2
BOOT_IMAGE=Linux2.6.5
_=/usr/bin/env
crw-rw-rw- 1 root tty 5, 0 Apr 24 10:47 /dev/tty
crw------- 1 root root 4, 0 Apr 9 10:34 /dev/tty0

Warum kann root nicht auf die Konsole zugreifen?

Danke fuer jeden Tipp und Erklaerung

Weizenbier

PS: Ich wiederhole, dass nach dem Booten unter Anmeldung von Root, sich das Script ohne Probleme benutzen laesst!!

[miaumiau]

Hallo,

ich hab verzweifle an dem Versuch einen mit dd erstellten Datencontainer zu verschlüsseln.

Ich ging dabei vor, wie es beispielsweise in der man zu losetup geschrieben steht:

dd if=/dev/zero of=/home/martin/container bs=1k count=500
head -c 2880 /dev/random | uuencode -m - | head -n 65 \
| tail -n 64 | gpg --symmetric -a > /stick/key.gpg
losetup -e AES128 -K /stick/key.gpg /dev/loop0 /home/martin/container

Unter /stick/ befindet sich mein USB-Stift.

Mein fstab-Eintrag:
/home/martin/container /mnt ext2 defaults,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/stick/key.gpg 0 0

Dann folgender Befehl und die Fehlermeldung:

sudo losetup -F /dev/loop0
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

Könnt ihr mir dabei weiterhelfen? Hast du weizenbier das Problem bei dir schon lösen können?

Dankt euch
Martin

[weizenbier]

Hallo,
Dann folgender Befehl und die Fehlermeldung:

sudo losetup -F /dev/loop0
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

Hi Martin,

hast du losetup auch gepatcht?
Siehe auch

zappa:~/MyDocuments$ apt-cache show loop-aes-utils
Package: loop-aes-utils
Priority: optional
Section: admin
Installed-Size: 240
Maintainer: Max Vozeler <max@hinterhof.net>
Architecture: i386
Version: 2.12a-3
Depends: libc6 (>= 2.3.2.ds1-4)
Filename: pool/main/l/loop-aes-utils/loop-aes-utils_2.12a-3_i386.deb
Size: 116154
MD5sum: cbc34545664077c47b47adfa6da10427
Description: Tools for mounting and manipulating encrypted filesystems
This package provides the mount(8), umount(8), swapon(8),
swapoff(8), and losetup(8) commands from util-linux. They are
patched to support the loop-AES encrypted loopback kernel driver.

Und schau dir auch mal mein Howto unter http://www.debianforum.de/wiki/CryptoFsMitUsbStick

Alles klar?

Weizenbier

[miaumiau]

Hallo weizenbier,

du ich hab deinen Rat befolgt und bin dein kleines Howto durchgegangen. Es funktioniert auch. Jedoch nicht über einen Eintrag in der fstab. damit würd es etwas einfacher und man braucht nicht soviele Befehle dafür es zu mounten und zu unmounten.

Weißt du was ich mein?

/mnt/container /mnt/crypted ext2 defaults,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/stick/keyfile.gpg 0 0

Die Datei container will ich in das Verzeichnis /mnt/crypted mounten. Die obige fstab-Zeile hab ich mir aus der loop-aes-doc erspäht, funzt aber ned. Weißt du hier Rat? Sonst funktioniert deins. Find ich schon mal ganz gut jetzt.

Übrigens: ich hab die gleiche Version, wie du von losetup. Bei losetup -F kommts aber eben noch zu dem Fehler:

martin@martin:~$ sudo losetup -F /dev/loop0
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

Danke
Martin[/quote]

[miaumiau]

Hallo nochmal,

mir ist noch was aufgefallen:

Wenn ich mit dem Parameter -K das losetup bedienen will für die Angabe meines per gpg generierten schlüssels, dann kommts zur gleichen Fehlermeldung.

martin@martin:~$ sudo losetup -e AES128 -K /stick/key.gpg /dev/loop0 /mnt/container
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

Nehm ich hingegen dein Kommando aus dem wiki her

gpg --decrypt /mnt/usb/key.gpg | /sbin/losetup -e AES128 /dev/loop0 /dev/hda6 -p 0

dann funktionierts.

Mir ist ehrlich nicht ganz klar, worin hier der Unterschied besteht. Ich hoff du kannst mir da weiterhelfen.

Danke
Martin

[weizenbier]

Hallo und guten Abend,

/mnt/container /mnt/crypted ext2 defaults,noauto,loop=/dev/loop0,encryption=AES128,gpgkey=/stick/keyfile.gpg 0 0

Ja, der Eintrag ist richtig im Bezug auf das Loop-AES README. Habe ich auch in meiner fstab drinne.

martin@martin:~$ sudo losetup -F /dev/loop0
Password:
ioctl: LOOP_MULTI_KEY_SETUP: Invalid argument

Habe auch das gleiche Probelm beim mounten das fstab Eintrages.

Habe mir deshalb den Umweg ueber das Pipen der GPG Ausgabe in das losetup Kommando gestrickt. Die beiden Kommandos aus deinem letzten Post machen nach meinem Verstaendnis das Selbe.


Man darf aber auch nicht vergessen, dass der loop-aes Ansatz von Jari Ruusu sich unterscheidet zum Cryptoloop Ansatz der aktuellen Kernel der 2.4 und 2.6-er Reihe.


Kann dir leider nicht mehr weiterhelfen, da ich eh meine Partition per Hand mounte und ich das im HowTo aufgefuehrte Script dafuer benutze.

Spass,

Weizenbier

[knecht]

hab so einen gpg key erstellt (mit passwort)

Code: Alles auswählen

head -c 2880 /dev/random | uuencode -m -| head -n 65 | tail -n 64 | gpg --symmetri c -a > ~/key.gpg

Dann eine Containerdatei erstellt

Code: Alles auswählen

dd if=/dev/urandom of=/tmp/daten.crypt bs=1024 count=5000000

wenn ich jetzt versuche das loopbackdevice zu konfigurieren fragt er mich nach nem Passwort, nimmts aber nicht an weils weniger als 20 Zeichen sind (14 Zeichen). Bei der Erstellung hat er aber nicht gemeckert . . .

Code: Alles auswählen

stupidslave:/opt/keys# gpg --decrypt /opt/keys/daten.gpg | /sbin/losetup -e AES256 /dev/loop0 /windows/d/daten.crypt -p 0
gpg: CAST5 verschlüsselte Daten
Geben Sie die Passphrase ein:
gpg: Entschlüsselung fehlgeschlagen: Falscher Schlüssel
Error: Password must be at least 20 characters.

Was mache ich falsch ?

Danke
Sebastian

edit:
habe den pgp key nochmal mit einem einfachen Passwort (ohne sonderzeichen) erstellt, und es probiert

Code: Alles auswählen

stupidslave:/home/myself# gpg --decrypt /opt/keys/daten.gpg | /sbin/losetup -e AES256 /dev/loop0 /windows/d/daten.crypt -p 0
gpg: CAST5 verschlüsselte Daten
gpg: Verschlüsselt mit einer Passphrase
gpg: WARNUNG: Botschaft wurde nicht integritätsgeschützt (integrity protected)
ioctl: LOOP_MULTI_KEY_SETUP: Das Argument ist ungültig

jetzt komm ich zwar schon weiter, aber gehen tuts immer noch nicht.

laut apt-cache show loop-aes-utils hab ich die gepatchte Version installiert

[Savar]

1. magst du Leichen wirklich? du bist scheinbar auf nem seltsamen tripp

2. bei mir gabs ein ähnliches Problem, nur war da der Schlüssel glaub ich zu lang, den mir das "head -c 2880" gebracht hat.. ich schau grad wie groß der Unterschied ist..

hmm also mit deinem Befehl ist der Schlüssel 3840 Zeichen lang.. meinen hatte ich damals auf 2832 begrenzt... (einfach weggeschnitten glaub ich) und danach ging es..

[knecht]

1. magst du Leichen wirklich?

höchstens wenn sie eben exakt mein Problem gehabt zu haben scheinen^^

einfach weggeschnitten glaub ich

wie meinst du das ? wenn ich den count wert von head veringere meckert losetup das er ein Passwort mit mehr als 20 zeichen will.

Decrypted gpgkey should contain 1 or 64
or 65 keys, each key at least 20 characters and separated by
newline.

wie stell ich das dann an ?

[Savar]

du machst es so wie am Anfang, dann öffnest du mit "vi" deine key.gpg Datei (Voraussetzung ist das folgendes in deiner ~/.vimrc enthalten ist) und dann halt genügend wegschneiden bis es nur noch die besagten 2832 Zeichen sind.. speichere die Datei und versuchs nochmal

Code: Alles auswählen

augroup aencrypted
    au!

    " First make sure nothing is written to ~/.viminfo while editing
    " an encrypted file.
    autocmd BufReadPre,FileReadPre      *.asc set viminfo=
    " We don't want a swap file, as it writes unencrypted data to disk
    autocmd BufReadPre,FileReadPre      *.asc set noswapfile
    " Switch to binary mode to read the encrypted file
    autocmd BufReadPre,FileReadPre      *.asc set bin
    autocmd BufReadPre,FileReadPre      *.asc let ch_save = &ch|set ch=2
    autocmd BufReadPost,FileReadPost    *.asc '[,']!sh -c "gpg --decrypt 2> /dev/null"
    " Switch to normal mode for editing
    autocmd BufReadPost,FileReadPost    *.asc set nobin
    autocmd BufReadPost,FileReadPost    *.asc let &ch = ch_save|unlet ch_save
    autocmd BufReadPost,FileReadPost    *.asc execute ":doautocmd BufReadPost " . expand("%:r")

    " Convert all text to encrypted text before writing
    autocmd BufWritePre,FileWritePre    *.asc   '[,']!sh -c "gpg --default-recipient-self -ae 2>/dev/null"
    " Undo the encryption so we are back in the normal text, directly
    " after the file has been written.
    autocmd BufWritePost,FileWritePost    *.asc   u
augroup END

augroup bencrypted
    au!

    " First make sure nothing is written to ~/.viminfo while editing
    " an encrypted file.
    autocmd BufReadPre,FileReadPre      *.gpg set viminfo=
    " We don't want a swap file, as it writes unencrypted data to disk
    autocmd BufReadPre,FileReadPre      *.gpg set noswapfile
    " Switch to binary mode to read the encrypted file
    autocmd BufReadPre,FileReadPre      *.gpg set bin
    autocmd BufReadPre,FileReadPre      *.gpg let ch_save = &ch|set ch=2
    autocmd BufReadPost,FileReadPost    *.gpg '[,']!sh -c "gpg --decrypt 2> /dev/null"
    " Switch to normal mode for editing
    autocmd BufReadPost,FileReadPost    *.gpg set nobin
    autocmd BufReadPost,FileReadPost    *.gpg let &ch = ch_save|unlet ch_save
    autocmd BufReadPost,FileReadPost    *.gpg execute ":doautocmd BufReadPost " . expand("%:r")

    " Convert all text to encrypted text before writing
    autocmd BufWritePre,FileWritePre    *.gpg   '[,']!sh -c "gpg --default-recipient-self -ev 2>/dev/null"
    " Undo the encryption so we are back in the normal text, directly
    " after the file has been written.
    autocmd BufWritePost,FileWritePost    *.gpg   u
augroup END

[knecht]

hab mir die ~/.vimrc erstellt.

so war der schlüssel voher

Code: Alles auswählen

stupidslave:/home/myself# wc /opt/keys/daten.gpg
  69   75 4219 /opt/keys/daten.gpg

jetzt hab ich soviele Zeilen wie nötig vom gpg key Teil rausgenommen (von hinten weggeschnitten)

Code: Alles auswählen

stupidslave:/home/myself# wc /opt/keys/daten.gpg
  47   53 2825 /opt/keys/daten.gpg

kommt das dabei heraus

Code: Alles auswählen

stupidslave:/home/myself# gpg --decrypt /opt/keys/daten.gpg | /sbin/losetup -e AES128 /dev/loop0 /windows/d/daten.crypt -p 0
gpg: Prüfsummenfehler; 7fda89 - 12e032
Error: Password must be at least 20 characters.

[Savar]

wieso hast du jetzt AES128 benutzt?? Oben wars noch AES256

mit dem Prüfsummenfehler.. hmm.. ich weiß leider nicht mehr ob ichs per Hand gelöscht habe oder einfach die Zeile zum erstellen geändert hatte...

[knecht]

habs mal mit 128 und 256 probiert um Fehler auszuschliessen. Ich hab mir in Google jetzt schon die Augen ausgeguckt, und die Benutzen alle eine Zeile wie meine und es funktioniert. Hab jetzt schonmal die Handvoll verschiedene Werte ausprobiert die es so im Netz als Vorschläge gab, aber das geht einfach nicht

Hab das System mit Sarge auf den neuesten Stand, kann doch nicht sein das es nur bei mir so nicht geht.

losetup alleine mit Passwort funktioniert wunderbar, aber er will einfach nicht mit gpg Arbeiten.

Wenn jemand ne Zeile zum erstellen des gpg Keys hat die bei ihm mit losetup funktioniert, dann bitte her damit

und ich probier halt noch etwas dran rum

gruss
Sebastian

[knecht]

wenn ichs damit erstelle hat die Datei dann weniger als 2832 Zeichen

Code: Alles auswählen

stupidslave:/opt/keys# head -c 1850 /dev/random | uuencode -m -| head -n 65 | tail -n 64 | gpg --symmetric -a > daten.gpg

Code: Alles auswählen

stupidslave:/home/myself# wc /opt/keys/daten.gpg
  47   53 2813 /opt/keys/daten.gpg

Aber es geht trotzdem nicht:

Code: Alles auswählen

stupidslave:/home/myself# gpg --decrypt /opt/keys/daten.gpg | /sbin/losetup -e AES128 /dev/loop0 /windows/d/daten.crypt -p 0
gpg: CAST5 verschlüsselte Daten
gpg: Verschlüsselt mit einer Passphrase
gpg: WARNUNG: Botschaft wurde nicht integritätsgeschützt (integrity protected)
Error: Password must be at least 20 characters.

auf was muß ich noch achten ?

[Savar]

kann dir so leider nicht weiterhelfen.. ich würd ja an deiner Stelle versuchen den Schlüssel zu decoden und dann als Klartext an "losetup" zu schicken.. geht das?

[knecht]

Code: Alles auswählen

stupidslave:/windows/d# gpg --decrypt /opt/keys/daten.gpg > gpg_unencrypt
gpg: CAST5 verschlüsselte Daten
gpg: Verschlüsselt mit einer Passphrase
gpg: WARNUNG: Botschaft wurde nicht integritätsgeschützt (integrity protected)
stupidslave:/windows/d# cat gpg_unencrypt | /sbin/losetup -e AES256 /dev/loop0 /windows/d/daten.crypt -p 0
Error: Password must be at least 20 characters.

geht so auch nicht. Und die letzte Zeile der entschlüsselten Datei hat mehr als 20 Zeichen . . .
na, mal weiter probieren

[knecht]

Wenn ich folgendes mache funktionierst:

Code: Alles auswählen

stupidslave:/opt/keys# gpg -q --decrypt /opt/keys/daten.gpg | head -n 63 > daten.txt
gpg: WARNUNG: Botschaft wurde nicht integritätsgeschützt (integrity protected)
stupidslave:/opt/keys# cat /opt/keys/daten.txt | /sbin/losetup -e AES256 /dev/loop0 /windows/d/daten.crypt -p 0
stupidslave:/opt/keys# 

Es ist also eine Zeile zuviel im gpg key gewesen.

Jetzt erstelle ich meine Keys so, und es geht

Code: Alles auswählen

head -c 2880 /dev/random | uuencode -m -| head -n 65 | tail -n 64 | head -n 63 | gpg --symmetric -a > daten.gpg

gruss
Sebastian

[knecht]

und wieder ein neues Problem ist aufgetaucht:

zwar kann jetzt gpg Keys erstellen die auch unter Linux funktionieren, aber unter Windows mit Crosscrypt nicht

Die nun erstellten Keys haben 63 Zeilen, crosscrypt erwartet aber keyfiles mit 64 Zeilen, was ja Debian wieder nicht nimmt

Also was soll man dann tun ? Ist da was mit dem Paket loop-aes-utils falsch ? Macht das gpg was falsch das die Keys nicht mit losetup funktionieren ? Oder geht das halt einfach nicht mit Keyfile unter Windows und Linux ?

Danke
Sebastian

[elvis9999]

Halllo knecht

Habe erst seit mitte Juni 2005 ein Debian Linux System und habe mich auch mit der möglichkeit der Verschlüsselung beschäftigt.

Erstelle den Key so wie in Deinen vorherrigen Thread beschrieben mit:
head -c 2880 /dev/random | uuencode -m -| head -n 65 | tail -n 64 | head -n 63 | gpg --symmetric -a > key.gpg

Unter Windows gebe ich an der Kommandozeile folgendes ein:

gpg -d key.gpg|filedisk /mount d:\home\cryptfile f: /aes256