Hallo!
Ich plane demnächst nach dem Artikel in der c't 7/2005 mein System zu verschlüsseln.
Bisher habe ich mir das so vorgestellt, dass ich, wie im Artikel beschrieben, meine home, tmp und var Partition, sowie eine weitere mit sensiblen Daten verschlüsseln möchte.
(reicht das? oder soll ich meine root Partition auch noch mitverschlüsseln? Ich denke dass das dann aber sehr zur Lasten der Performance geht...)
Die erste Frage, die sich mir stellt, wäre nun die, welchen Algorithmus ich verwenden soll. Urprünglich wollte ich mich für Blowfish entscheiden - da ich gehört habe, dass dieser schneller als die anderen Varianten sein soll. Gibt es denn hier im Forum andere Meinungen / Erfahrungen?
Soweit ich verstanden habe, muss ich eine Partition, um sie zu verschlüsseln, komplett neu anlegen. Oder gibt es da noch eine Möglichkeit die bestehenden Partitionen ohne Datenverlust in Kryptocontainer umzuwandeln?
Viele Grüße,
shor
Fragen zur Verschlüsselung
Vorweg: ich habe den von dir genannten c't Artikel nicht gelesen, daher weiss ich nicht genau, was die dort genau benutzen.
Zum Umfang: Die von Dir genannten Bereiche /home, /tmp und /var enthalten sicher die meisten sensiblen Daten des Systems, so dass du damit schon ganz gut bedient bist. Eventuell solltest du Deine Swap Parition noch mit dazunehmen.
Zur Performance: Ich habe mein gesamtes System verschlüsselt (also alles außer /boot) und habe bisher noch nie Performence Probleme festgestellt. Office, surfen, Musik hören, Filme gucken, 3D Ballerspiele - geht alles ohne dass ich dabei eine Beeinträchtigung wahrnehmen kann.
Zum Algorithmus: Ich benutzte selbst AES128 und kann den durchaus weiterempfehlen. Wie gesagt fällt die Geschwindigkeit nicht ins Gewicht und es ist nunmal der Standardalgorithmus - meiner Meinung nach auch besser (sicherer) als Blowfish.
Sofern du loopAES (http://sf.net/projects/loop-aes/) einsetzen willst, kannst du aespipe einsetzen, um eine vorhandene Partition nachträglich zu verschlüsseln. Die Partition darf dabei natürlich nicht gemountet sein. Außerdem solltest du selbstverständlich vorher ein Backup der Daten machen, denn wenn der Prozess aus irgendeinem Grunde unterbrochen wird, stehst du mit einer halb verschlüsselten Partition da und alle Daten sind weg.
Falls du nicht loopAES einsetzen wirst, ist beim Einsatz von aespipe Vorsicht geboten, denn ich weiss nicht, ob das mit anderen Systemen kompatibel ist - würde aber davon ausgehen, dass es _nicht_ kompatibel ist. Für aespipe gibt es übrigens ein Debianpaket, d.h. du kannst es ganz einfach installieren.
Tipp zum Schluss: Schau dir mal das loopAES-Readme an. (http://loop-aes.sourceforge.net/loop-AES.README)
Zum Umfang: Die von Dir genannten Bereiche /home, /tmp und /var enthalten sicher die meisten sensiblen Daten des Systems, so dass du damit schon ganz gut bedient bist. Eventuell solltest du Deine Swap Parition noch mit dazunehmen.
Zur Performance: Ich habe mein gesamtes System verschlüsselt (also alles außer /boot) und habe bisher noch nie Performence Probleme festgestellt. Office, surfen, Musik hören, Filme gucken, 3D Ballerspiele - geht alles ohne dass ich dabei eine Beeinträchtigung wahrnehmen kann.
Zum Algorithmus: Ich benutzte selbst AES128 und kann den durchaus weiterempfehlen. Wie gesagt fällt die Geschwindigkeit nicht ins Gewicht und es ist nunmal der Standardalgorithmus - meiner Meinung nach auch besser (sicherer) als Blowfish.
Sofern du loopAES (http://sf.net/projects/loop-aes/) einsetzen willst, kannst du aespipe einsetzen, um eine vorhandene Partition nachträglich zu verschlüsseln. Die Partition darf dabei natürlich nicht gemountet sein. Außerdem solltest du selbstverständlich vorher ein Backup der Daten machen, denn wenn der Prozess aus irgendeinem Grunde unterbrochen wird, stehst du mit einer halb verschlüsselten Partition da und alle Daten sind weg.
Falls du nicht loopAES einsetzen wirst, ist beim Einsatz von aespipe Vorsicht geboten, denn ich weiss nicht, ob das mit anderen Systemen kompatibel ist - würde aber davon ausgehen, dass es _nicht_ kompatibel ist. Für aespipe gibt es übrigens ein Debianpaket, d.h. du kannst es ganz einfach installieren.
Tipp zum Schluss: Schau dir mal das loopAES-Readme an. (http://loop-aes.sourceforge.net/loop-AES.README)
HardHat,
vielen Dank für deine Aufstellung, du hast mir damit sehr geholfen!
Eine Frage hätt ich aber doch noch *g*
in der aespipe readme steht das man ein verschlüsseltes device mit: (auf meine Bedürfnisse angepasst)
mounten kann. Zu dem Teil "AES128" würde ich gerne wissen ob ich dort einfach "AES256" hinschreiben kann. Da man bei der Schlüsselerzeugung,
auch nirgends etwas von der Schlüssellänge geschrieben hat.
ich würde nämlich schon lieber einen 256Bit langen Schlüssel verwenden (und diesen dann von einem 2. System beim mounten laden das für sich auch abgesichert ist, (das regel ich aber auch alleine dann)).
Danke,
Nietschy
vielen Dank für deine Aufstellung, du hast mir damit sehr geholfen!
Eine Frage hätt ich aber doch noch *g*
in der aespipe readme steht das man ein verschlüsseltes device mit: (auf meine Bedürfnisse angepasst)
Code: Alles auswählen
mount -t XFS /dev/md0 /home/user/raid5 -o loop=/dev/loop1,encryption=AES128,gpgkey=/etc/fskey1.gpg
Code: Alles auswählen
head -c 2925 /dev/random | uuencode -m - | head -n 66 | tail -n 65 | gpg --symmetric -a >/etc/fskey1.gpg
ich würde nämlich schon lieber einen 256Bit langen Schlüssel verwenden (und diesen dann von einem 2. System beim mounten laden das für sich auch abgesichert ist, (das regel ich aber auch alleine dann)).
Danke,
Nietschy
Gesamtes System verschlüsseln
Hallo!
Ich will mich da gleich mal einklinken. Ich möchte (speziell beim Notebook --> Verlust bzw Diebstahlsicherung) mein System auch verschlüsseln. Wollte ursprünglich auch das gesammte System verschlüsseln, fand dazu aber nur das Disk-Encryption-HOWTO das noch auf Kernel 2.4 und loopaes basiert.
Kennt jemand ein HowTo für 2.6 in Verbindung mit devicemapper um das gesamte System zu verschlüsseln?
Ich will mich da gleich mal einklinken. Ich möchte (speziell beim Notebook --> Verlust bzw Diebstahlsicherung) mein System auch verschlüsseln. Wollte ursprünglich auch das gesammte System verschlüsseln, fand dazu aber nur das Disk-Encryption-HOWTO das noch auf Kernel 2.4 und loopaes basiert.
Kennt jemand ein HowTo für 2.6 in Verbindung mit devicemapper um das gesamte System zu verschlüsseln?
PC: AMD Athlon 1.4-256 RAM 
-GForce 2 MX-Debian GNU/Linux (2.6.3) sarge
Notebook: Acer Aspire 2003WLMi - Debian GNU/Linux (2.6.7: ipw2001, fglrx) sarge
-GForce 2 MX-Debian GNU/Linux (2.6.3) sargeNotebook: Acer Aspire 2003WLMi - Debian GNU/Linux (2.6.7: ipw2001, fglrx) sarge