Festplatte unlesbar machen?

[blan]

hi,

da ich bei nachrichten wie http://www.spiegel.de/netzwelt/politik/ ... 15,00.html schon wieder ***** könnte hab ich mir überlegt ob es möglich ist, seine festplatte komplett mit einem RSA 2048 (4096) zu verschlüsseln, da RSA ja egtl aufgrund von der primfaktorzerlegung nicht wirklich zu knacken ist.

Ich stelle mir das ganze so vor, dass man beim hochfahren ein passwort eingeben muss, welches die wichtigsten teile der festplatte entschlüsselt und das passwort im RAM behält - so werden dann alle weiteren dateien just in time entschlüeelt .. ist sowas möglich?

mfg blan

[kernelpanic]

Hi,,idee ist nicht schlecht aber da er ja on the fly die ganze zeit dateien entschlüsseln muss geht das wohl n bissel auf die performance..

mein tip.
dateisystem komplett verschlüsseln und den passenden key auf nen usbstick speichern oder so,,sodass das system ohne key nicht mehr bootbar ist..
zusätlich natürlich den key mit ner passphrase versehen

[blan]

okay - ambesten is die sache sicher mit ner smartcard - kennt jemand smartcard reader die mit linux funktionieren (ambesten nen PCMCIA) ?

mfg blan

[berlinerbaer]

okay - ambesten is die sache sicher mit ner smartcard - kennt jemand smartcard reader die mit linux funktionieren (ambesten nen PCMCIA) ?

mfg blan

sind das die Dinger, die seitwärts ins Notebook eingschoben werden, in die man dann CF-Cards, SD-Cards und SMCs einschieben und wie Festplatten verwenden kann?
http://cgi.ebay.de/PCMCIA-Adapter-fuer- ... dZViewItem

Die gehen Alle unter Linux, egal wie, die bindet doch Debian schon bei der Installation des Grundsystems mit ein.

Ich denke aber, dass das mit USB-Readern oder USB-Sticks einfacher geht

[blan]

okay - ambesten is die sache sicher mit ner smartcard - kennt jemand smartcard reader die mit linux funktionieren (ambesten nen PCMCIA) ?

mfg blan

sind das die Dinger, die seitwärts ins Notebook eingschoben werden, in die man dann CF-Cards, SD-Cards und SMCs einschieben und wie Festplatten verwenden kann?
http://cgi.ebay.de/PCMCIA-Adapter-fuer- ... dZViewItem

Die gehen Alle unter Linux, egal wie, die bindet doch Debian schon bei der Installation des Grundsystems mit ein.

Ich denke aber, dass das mit USB-Readern oder USB-Sticks einfacher geht

ich rede nicht von iregendwelchen speichermedien sondern von smartcards, da diese meine passwörter wesentlich sicherer speichern - nächmlich nicht plaintext

mfg blan

[SirSydom]

http://www.linuxforen.de/forums/showthr ... ost1317085

[H4kk3r]

http://www.supermagnete.de/magnets.php?group=blocks_big
siehe unten auf der Seite

[berlinerbaer]

dazu fällt mir nur mein Freund und seine Zugangsverschlüsselung ein, die er mal eine Weile lang durchgezogen hat

Seine Devise - Täglich ein neues 12-stelliges Passwort, gebildet wie bei einem Räuber*Gendarm-Spiel ala James Bond

Irgendwie lief das so ähnlich ab:
Das Passwort bildete sich aus dem ersten Buchstaben des dritten Wortes der vierten Zeile auf der Seite, die sich aus der Multiplikation des Tages mit dem Datum ergab
und so ging das weiter, bis 12 Buchstaben oder auch Zahlen zusammen waren. Ich habe ja nichts gegen die 12 Stellen, aber das wie ist hier die Frage
Auf einer Homepage ganz unten, neben der "Lachtante", habe ich ihm übrigens ein Denkmal gesetzt
http://my-penguin-pc.de/debian-site/pas ... ilden.html

[SirSydom]

Ich würde dir empfehlen Stocahstik nochmal anzusehen, ein vierstelliges nur-Ziffer Passwort hat nämlich nicht 256 Möglichkeiten sondern 10^4 und das sind 10.000.

Ebenso das 14-16 stellige Ziffer und Buchstaben Passwort hast du falsch berechnet.

das wären 62^14 bis 62^16 Möglichkeiten.

Besser das bitte mal aus, sonst glaubt das am Schluss noch jemand.

[blan]

wie funktioniert denn egtl das mit dem swap und tmp verschlüsseln? wie kann man die temporären dateien verschlüsseln - die werden doch ständig wieder geändert etc.. ?

mfg blan

[berlinerbaer]

Ich würde dir empfehlen ....
Ebenso das 14-16 stellige Ziffer und Buchstaben Passwort hast du falsch berechnet. .... das wären 62^14 bis 62^16 Möglichkeiten.
.

Ok, danke, ehrlich gesagt, hatte ich es auch nur abgeschrieben, aus einem Artikel wo einer dieses Reiskörnerspielchen berechnete.

Mal sehen, vielleicht nehme ich es ganz raus. Die Aufrufe dieser Seite sind sowieso nur minimal, weil es keinen interessiert. Werbung fürs Handy oder für Computerspiele wäre wahrscheinlich erfolgreicher gewesen

[SirSydom]

Vom Prinzip her ganz einfach - alles was du da reinschreibst wird beim schreiben immer, sozusagen "on the fly" verschlüsselt und beim lesen wieder entschlüsselt.

wie funktioniert denn egtl das mit dem swap und tmp verschlüsseln? wie kann man die temporären dateien verschlüsseln - die werden doch ständig wieder geändert etc.. ?

mfg blan

[startx]

hola.

darf ich mal die frage dazwischenwerfern, warum ihr dmcrypt neu erfinden wollt.
ausser einem minimalen system zum booten kannst du alle anderen partitionen verschlüsseln.

oder warum wollt ihr das rad neu erfinden?

ich stelle mir das ganze so vor, dass man beim hochfahren ein passwort eingeben muss, welches die wichtigsten teile der festplatte entschlüsselt und das passwort im RAM behält - so werden dann alle weiteren dateien just in time entschlüeelt .. ist sowas möglich?

du kannst tmp und swap mit werten aus /dev/urandom verschlüsseln, da du ja nach dem nächsten reboot nichtmehr auf die daten zugreifen musst.

[blan]

wenn du mit nem zufalls schlüssel (/dev/urandom) verschlüsselst must du den schlüssel ja wo speichern ums dann wieder zu entschlüsseln oder?

mfg blan

[startx]

ja wo speichern ums dann wieder zu entschlüsseln oder?

ich sprach von tmp und swap.

der schlüssel ist solange gültig wir das system läuft, solange wird über den device mapper zugegriffen. dabei wird nicht "ständig was entschlüsselt, sondern der device mapper funktioniert wie eine art schablone die über die daten gelegt wird. beim nächsten reboot wird halt ein neuer erzeugt.

nach dem nächsten reboot wirst du die daten in swap nicht mehr brauchen. deshalb musst du sie auch nicht entschlüsseln/lesen können. es wird einfach ein neuer device mapper erzeugt.

http://www.saout.de/misc/dm-crypt/

beim verschlüsseln von richtigen daten (z.b. partitionen wie /home /usr) reicht eine passphrase. auch die wird nirgends gespeichert sondern der hash der eingegebenen passphrase bildet des "mapper" um auf das device zuzugreifen.

für praxis siehe
http://deb.riseup.net/storage/encryption/dmcrypt/

swap
http://www.saout.de/tikiwiki/tiki-index ... ryptedSwap

[knecht]

Ich hab meinen Laptop mit dmcrypt, per Passwortabfrage gleich nach dem Kernel laden, verschlüsselt (AES 256Bit), und das macht beim mir keine Probleme.

Ich hab mein / per Passwort verschlüsselt, alle anderen dann mit Keys die darauf liegen (home usw.)
Swap kriegt einen Random Key, und das macht alles ein gutes Gefühl wenn man eine gesunde Grundparanoia hat !!!

Kann das nur empfehlen !! Die Zeiten werden nicht ruhiger . . .

[startx]

Kann das nur empfehlen !! Die Zeiten werden nicht ruhiger . . .

und denk dran : nur weil du paranoid bist heisst nicht, dass sie nicht hinter dir her sind.

verschlüsseln sollte man wo es nur geht.

[jhr-online]

knecht: Magst du mir erklären, warum es sinnvoll ist, / zu verschlüsseln? Die Daten, die ich geheim halten will, liegen doch in /home; allenfalls noch in /var, oder nicht? Aus dem Rest (/etc, /bin, ...) kann man doch höchstens erkennen, welche Programme und mit welchen Einstellungen ich sie betreibe, oder sehe ich das falsch? Daran wäre doch nichts verwerfliches...

Ich denke gerade darüber nach, mein /home zu verschlüsseln (ist eine eigene Partition) und ein verschlüsseltes Backup auf einer USB-Platte automatisiert zu lagern, habe aber noch kein brauchbares HowTo - weder für das eine, noch für das andere - gefunden. Bin für jeden sachdienlichen Hinweis dankbar!

jhr

[knecht]

knecht: Magst du mir erklären, warum es sinnvoll ist, / zu verschlüsseln?

Im Prinzip hast du Recht, /var und /home sind wichtiger. Wenn man nur OpenSource Software installiert hat ist / zu verschlüsseln eigendlich sinnlos. (sollange natürlich die Keys der anderen Partition nicht als Textdatei irgendwo unter / liegen !!)

Was ich aber gut daran finde ist, das ich gleich nach Grub einmal ein Passwort (für /) eingebe, die Keys für die anderen Partitionen dann darunter als plaintext liegen können. Und da ja alles verschlüsselt ist und nur ich meinen PC benutzte, lasse ich ihn gleich als User eingeloggt mit dem WM starten. Also eben ein Passwort am Anfang, und wenn ich das nächste mal hinschaue ist er fertig hochgefahren und ich kann arbeiten.

Aber ansonsten ist es überflussig, ja !

Ich hab kürzlich ein HowTo geschrieben wie man sein komplettes root Dateisystem verschlüsseln kann. Für dich wird das interessant ab dem verschlüsseln des Swaps.
https://knecht.homelinux.net/phpBB2/vie ... =5531#5531
Das geht eigendlich sehr einfach, machs einfach so wie ich dort Swap und Home verschlüsselt habe . . . ganz oben steht welche Software du brauchst, und wie du testest ob alles passt. Der ganze rest dazwischen muß dich nicht interessieren.


folgende Kernelmodule wirst du laden müßen:

Code: Alles auswählen

modprobe aes dm_crypt dm_mod

gruss
Sebastian

[jhr-online]

Es gibt Leute, auf die ist einfach Verlass. Danke dir, Sebastian!

jhr

[jhr-online]

Ich muss nochmal nachhaken, um sicher zu gehen, dass mein eingeschlagener Weg richtig ist. Folgendes habe ich bisher getan:

• Module (aes, dm_crypt, dm_mod) geladen und in /etc/modules eingetragen
• Software installiert (cryptsetup, dmsetup)
• Die drei Überprüfungen, die du im oberen Teil deines HowTos genannt hast erfolgreich durchgeführt

Ab hier weicht mein Plan von deinem ab, da ich ja nur /home verschlüsseln will. Ich habe also ein Backup gemacht auf meine externe Platte (genannt: icybox):

Code: Alles auswählen

rsync -v -a --partial --include=* --include=.* /home /media/icybox/backup

Weiter sollte es dann so gehen:

Code: Alles auswählen

cryptsetup create home /dev/hda6
mkfs.ext3 /dev/mapper/home
mount /dev/mapper/home /home

Dann füge ich in /etc/fstab ein:

Code: Alles auswählen

/dev/mapper/home /home          ext3    defaults,rw,users,exec,auto     0       0

Damit sollte meine Homepartition verschlüsselt sein mit der Passphrase, die ich oben beim cryptsetup eingegeben hab, oder? Also kann ich jetzt einfach mit

Code: Alles auswählen

cp -r /media/icybox/backup/home/* /home

alles zurückkopieren, oder? Aber - unter der Vorraussetzung, dass ich alles richtig verstanden habe - wann wird denn die Passphrase dann abgefragt? Beim Versuch die Partition zu mounten (also während des Bootvorgangs)?

Ich bin gespannt, wie dicht ich am Resultat stehe
jhr

//edit: Das rsync hab ich im "init 1" gemacht. Mir scheint es sinnvoll zu sein, alles andere auch so zu machen, korrekt?

[jhr-online]

Es sah alles ganz nett aus (ich konnte nach dem Mounten sogar meine Daten zurückholen), aber es gibt ein Problem: Nach dem Booten findet er /dev/mapper/home nicht wieder. Wenn ich neu erstelle, sind natürlich auch die Daten wieder weg. Jemand ne Idee, woran's liegt?

jhr

PS: Falls ein Mod Lust hat, kann er ja aus meinem letzten und diesem Beitrag einen neuen Thread machen; mein persönliches Problem weicht ja ziemlich vom eigentlichen Threadinhalt ab...

[uljanow]

Hast du deine /etc/crypttab bearbeitet?
Da müsste dann nach den Angaben hier das

Code: Alles auswählen

home /dev/hda6

stehen.
Wenn die benötigten Module auch in der /etc/modules stehen, sollte beim booten nach einem passwort gefragt werden.

Bei deinem fstab Eintrag, würd ich noch die letzte stelle in eine 2 ändern, so dass fsck die partition automatisch überprüft. Also
/dev/mapper/home /home ext3 defaults,rw,users,exec,auto 0 2

[jhr-online]

Vielen herzlichen Dank, die Änderungen sind durchgeführt. Es funktioniert!

jhr

[Joghurt]

Übrigens bringt die beste Verschlüsselung wenig, wenn man die Swappartition nicht mitverschlüsselt.