dm_crypt keyfile

blan · Beitrag von **blan** » 09.04.2006 16:57:52

hi,

bin grad dabei meine festplatte mit dm_crypt zu verschlüssel aber irgendwie hagts scho an den einfachsten sachen..

cryptsetup -yd name.key -s 256 create crypt /dev/hda4

ich bekomm immer die fehlermeldung

Code: Alles auswählen

Aufruf fehlgeschlagen: Datei oder Verzeichnis nicht gefunden

welche datei meint er - name.key?

mfg blan

tapferesschneiderlein · Beitrag von **tapferesschneiderlein** » 09.04.2006 20:14:03

Bist Du root?

blan · Beitrag von **blan** » 09.04.2006 20:27:17

jo schon und ohne keyfile erstellter auch son device - aber will eben ne keyfile...

mfg blan

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 10.04.2006 01:27:04

Ich würde es zunächst mal ohne -y probieren.

cu

blan · Beitrag von **blan** » 10.04.2006 16:25:26

niemand hat geschrieben:Ich würde es zunächst mal ohne -y probieren.

cu

aha, das funktioniert

kannst du mir jetzt noch erklären wie ich ein key erzeuge, zb mit gnupg - brauch ma was in der name.key?

mfg blan

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 10.04.2006 18:17:48

Der Key sollte eine Zeichenfolge mit möglichst hoher Entropie sein. Am Besten wäre es, eine gewisse Menge an Zeichen aus /dev/random zu nehmen. Wenn's schnell gehen soll, geht auch /dev/urandom (wobei aber, lt. Doku, keine Mindestentropie gegeben ist).

Zum Auslesen bietet sich dd an (man dd).

cu

blan · Beitrag von **blan** » 10.04.2006 19:07:19

hab mal son code beispiel gefunden um ne keyfile zu erstellen, aber irgendwie passiert nach dem passpharse eingeben nixmehr und die datei bleibt 0kb groß - was is daran falsch und cryptsetup erwartet doch so eine keyfile oder?

Code: Alles auswählen

head -c 2880 /dev/random | uuencode -m -| head -n 65 | tail -n 64 | gpg --symmetric -a > key.gpg

mfg blan

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 10.04.2006 20:28:28

Übersetzung meines vorhergehenden Textes in copy&paste:

Code: Alles auswählen

dd if=/dev/random of=name.key bs=1 count=1024

Vielleicht doch mal einen Blick in die Doku werfen? *sigh*

Was in deinem keyfile steht, ist reichlich egal - solange es nur zufällig genug ist. Und bei dm_crypt muss es nicht mal mehr zwinged aus ASCII-Zeichen bestehen.

cu

blan · Beitrag von **blan** » 10.04.2006 21:28:11

okay, klappt alles wunderbar nach dem tutorial jetzt (wiki.debianfourm.de) aber was ist mit meiner passpharse - konnte das teil scho mounten - ohne keyfile anzugeben und irgendwo ein passpharse einzugeben, das sollte ja normal über den parameter -y bei cryptsetup angegeben werden - wie mach ich das nun?

mfg blan

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 10.04.2006 23:05:02

wie mach ich das nun?

Einfach: Du gibst 'man cryptsetup' in einer Shell ein. Vorausgesetzt, deine Pakete sind richtig installiert und konfiguriert, sollte da jetzt ein Text stehen, der die Funktionen von cryptsetup erklärt. Diesem kannst du entnehmen, dass cryptsetup mit der Option '-d filename' das anegegebende File als Key verwendet, und dass die Funktion '-y' dazu da ist, eine Passphrase ein zweites Mal zur Verifikation abzufragen. Nun müsstest du dich entscheiden: Bleibst du bei einer Passphrase, lässt du den Parameter '-d filename' weg, da die Passphrase von stdin gelesen wird (und das mit -y sogar zweimal). Möchtest du ein File als Schlüssel nehmen, lässt du logischerweise die Option '-y' weg, da das File nicht von stdin gelesen wird, und dementsprechend nichts von stdin zu verifizieren da ist (ein File zur Sicherheit zweimal einlesen ist seit etwas mehr als 30 Jahren nicht mehr notwendig).

Nachdem du nun die manpage gelesen hast, drückst du auf 'q' (womit du man beendest - bei weiteren Fragen dazu einfach mal 'man man' eingeben) und erstellst mit cryptsetup die Devices so, wie du dich beim Studium der manpage entschieden hast.

Möchtest du unbedingt -d und -y benutzen wollen, kannst du das abwechselnd, indem du in das File, das du als key nimmst, eine Passphrase schreibst. Nun kannst du je nach Belieben entweder '-d file' oder '-y' verwenden, bei '-y' gibst du dann halt zweimal die Passphrase ein, die du auch in das File geschrieben hast.

*scnr*

cu

blan · Beitrag von **blan** » 11.04.2006 13:03:29

okay danke, hab mir jetzt man man dmsetup und man cryptsetup angeschaut und es funktioniert auch - mein problem ist nun das das device immer gelöscht wird wenn es nicht gemounted werden kann - ist das normal? der key wird von nem usbstick gemountet... macht es sinn das cryptdisks-script einfach net beim booten sondern beim start von gnome oder manuell zu machen, wenn udev scho mein usb-stick gemounted hat?

mfg blan

Incom · Beitrag von **Incom** » 07.05.2006 23:20:52

Besser antworte ich spät als gar nicht

blan hat geschrieben:okay danke, hab mir jetzt man man dmsetup und man cryptsetup angeschaut und es funktioniert auch - mein problem ist nun das das device immer gelöscht wird wenn es nicht gemounted werden kann - ist das normal? der key wird von nem usbstick gemountet... macht es sinn das cryptdisks-script einfach net beim booten sondern beim start von gnome oder manuell zu machen, wenn udev scho mein usb-stick gemounted hat?

mfg blan

Wenn das Keyfile nicht da ist wird das Device gar nicht erstellt.
Ich habe ein ähnliches System hier und es dadurch gelöst dass ich einfach ein mount /dev/sdaX in das cryptsetup Script eingebaut habe. Ausserdem sollte das usb-storage Modul in den Kernel kompilliert sein.

MfG
Incom