Hallo!
Ich bin gerade dabei sensible Daten meines Fileservers und Notebooks mit dm-crypt und luks zu verschlüsseln. Es läuft schon so weit alles (seit ein paar Tagen) und ich bin bisher sehr zufrieden.
Jetzt stellt sich mir nur die Frage, wie es mit Langzeiterfahrungen aussieht. Habt ihr die Kombination schon läger im Einsatz?
Wie sicher ist dm-crypt bezüglich Datenverlust? Ich bin immer noch ein wenig spektisch, dass eines Tages aus irgendwelchen Gründen die Entschlüsselung nicht mehr klappt (defekter Festplattensektor, falscher Schreibvorgang und Korrumption der Verschlüsselungsdaten, etc.). Ich bin diesbzgl noch aus meiner Windows-Zeit vorbelastet...
Natürlich halte ich auch immer ein Backup meiner Daten. Ich bin nur noch nicht sicher, wie ich es in Zukunft handhaben will und schwanke zwischen den Varianten:
1) Backup Device auch verschlüsseln
2) Backup Device unverschlüsselt, aber an sicheren Ort aufbewart
Wie handhabt ihr die Backups?
Andreas
Datensicherheit mit dm-crypt und luks
Langzeit? Auch erst seit ca. 2 Wochen.[Verschlüsselung mit dmcrypt]
Jetzt stellt sich mir nur die Frage, wie es mit Langzeiterfahrungen aussieht. Habt ihr die Kombination schon läger im Einsatz?
Bis jetzt keine Probleme.Ajo, ein Backup der wichtigen Daten braucht man so oder so, oder? <Halbwissen attribute="gefaehrliches">Ein Problem könnte sein, dass im Falle von Datenverlust die Stelle betroffen sein könnte, die für den Vergleich des Passworts relevant ist (ich weiss nicht wie dmcrypt das intern macht). Dann ist wohl alles weg. Sowas meinst du wohl auch.</Halbwissen>Wie sicher ist dm-crypt bezüglich Datenverlust? Ich bin immer noch ein wenig spektisch, dass eines Tages aus irgendwelchen Gründen die Entschlüsselung nicht mehr klappt (defekter Festplattensektor, falscher Schreibvorgang und Korrumption der Verschlüsselungsdaten, etc.). Ich bin diesbzgl noch aus meiner Windows-Zeit vorbelastet...
Da ich nur meine home-Partition verschlüssele sichere ich mir die dortigen Dateien mit tar auf eine externe (unverschlüsselte) Platte, verschlüssle das tar mit gpg und lösche es dann. Übrig bleibt ein gpg-file, das nur ich wieder entschlüsseln kann.Natürlich halte ich auch immer ein Backup meiner Daten. Ich bin nur noch nicht sicher, wie ich es in Zukunft handhaben will und schwanke zwischen den Varianten:
1) Backup Device auch verschlüsseln
2) Backup Device unverschlüsselt, aber an sicheren Ort aufbewart
Code: Alles auswählen
#!/bin/bash
DATE=$(date +%Y-%m-%d)
tar cz --exclude=*.tmp -f /media/maxtor/backup/home_bak_$DATE.tar.gz /home/
gpg -r 'xxx (for internal use only) <internal@xxx.de>' -v -e
/media/maxtor/backup/home_bak_$DATE.tar.gz
rm /media/maxtor/backup/*.tar.gz
Hm, mir fällt gerade ein, dass man das gelöschte tar wohl evtl. wiederherstellen könnte? Unschön.. Dann muss man wohl zwingend direkt verschlüsseln?
smo
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
verschoben von Dateiserver
Gruß Savar
PS: das passwort ist nirgends gespeichert.. ich weiß nicht inwieweit luks noch infos speichert aber wenn man das (nicht ganz so sichere) plain dm-crypt verwendet, dann braucht man nur die verschlüsselten Daten.. dm-crypt kriegt ja von dir das passwort und versucht dann mit dem angegebenen (oder standard) verschlüsselungsverfahren einfach die daten wieder zu entschlüsseln.. was das dann für daten sind ist dm-crypt egal.. ob das eine riesige Datei oder eine partition oder sonstwas ist, macht keinen unterschied.. und dann hast du darin natürlich wieder die üblichen probleme wenn du defekte sektoren hast..
Gruß Savar
PS: das passwort ist nirgends gespeichert.. ich weiß nicht inwieweit luks noch infos speichert aber wenn man das (nicht ganz so sichere) plain dm-crypt verwendet, dann braucht man nur die verschlüsselten Daten.. dm-crypt kriegt ja von dir das passwort und versucht dann mit dem angegebenen (oder standard) verschlüsselungsverfahren einfach die daten wieder zu entschlüsseln.. was das dann für daten sind ist dm-crypt egal.. ob das eine riesige Datei oder eine partition oder sonstwas ist, macht keinen unterschied.. und dann hast du darin natürlich wieder die üblichen probleme wenn du defekte sektoren hast..
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
beim plain dm-crypt bin ich der meinung das es egal ist.. mit luks hab ich mich noch nicht beschäftigt.. hmm.. http://luks.endorphin.org/dm-crypt bei luks sieht das ganze schon anders aus.. da werden spezielle bereiche der Festplatte für den Master Key verwendet.. die Frage ist, kann man den Master Key auch (wenn man ihn z.B. extern sichert) direkt angeben, dann wär es auch in dem Fall egal.. musst du dich mal einlesen
Also unter http://luks.endorphin.org/faq wird dringend ein Backup empfohlen. Anscheinend kann ein Treffer der Key Bereiche echt alles ausser Kraft legenQ: How can I backup my keys
You can't. Either stuff the key into another key slot, if you are afraid of damaged sectors that might occour in your phdr, and regularly backup your disk. This is not the place to talk about the benifits of backups, but when using cryptography you are in a much harder position to recover stuff in the event of data loss.
Naja, da werde ich wohl für mich die Variante
"Backup Device unverschlüsselt, aber an sicheren Ort aufbewart "
wählen.
Allerdings bin ich bei meinen Recherchen noch auf keine "mysteriösen" Datenverluste mit dm-crypt und luks gestoßen. Scheint also durchaus stabil zu laufen.
-
Savar
- Beiträge: 7174
- Registriert: 30.07.2004 09:28:58
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
bei mir läuft ein plain/dm-crypt seit 3-4 Monaten... einziges Problem was ich hatte.. mein Rescue Debian (150MB Partition damit ich halt booten kann und extern auf die verschlüsselten Dateien zugreifen kann) hatte (war halt Sarge) ne ältere dm-crypt Version als die aus meinem laufenden System (unstable) und da konnte ich es einmal von außen nicht entschlüsseln (was eigentlich hätte funktionieren müssen)...
-
tapferesschneiderlein
- Beiträge: 189
- Registriert: 11.08.2005 09:27:01
Code: Alles auswählen
head -c 592 /dev/luks-partition > phdr.backup(Wenn man sich noch intensiver mit der LUKS-Spezifikation auseinandersetzt, kann man sicher auch den blanken Masterkey extrahieren und dann später per Hand auf den eigentlichen Datenbereich anwenden.)
Das ist korrekt. Du kannst aber auch Tools wie dd if=/dev/urandom oder shred in dein Skript einbauen. Dauert länger, funktioniert aber. Die beste Methode ist natürlich die direkte Verschlüsselung.Da ich nur meine home-Partition verschlüssele sichere ich mir die dortigen Dateien mit tar auf eine externe (unverschlüsselte) Platte, verschlüssle das tar mit gpg und lösche es dann. Übrig bleibt ein gpg-file, das nur ich wieder entschlüsseln kann.Wahrscheinlich kann man das auch in einem Schritt machen (packen und gpg), löschen entfiele dann. Was mir noch fehlt ist ein Fortschrittsbalken, das dauert nämlich doch ein paar Minuten...Code: Alles auswählen
#!/bin/bash DATE=$(date +%Y-%m-%d) tar cz --exclude=*.tmp -f /media/maxtor/backup/home_bak_$DATE.tar.gz /home/ gpg -r 'xxx (for internal use only) <internal@xxx.de>' -v -e /media/maxtor/backup/home_bak_$DATE.tar.gz rm /media/maxtor/backup/*.tar.gz
Hm, mir fällt gerade ein, dass man das gelöschte tar wohl evtl. wiederherstellen könnte? Unschön.. Dann muss man wohl zwingend direkt verschlüsseln?
smo