Hey cracks,
nach dem kläglichen Versuch cryptsetup mit Luks untersützung auf sarge zu installieren hab ich nun einfach etch testing genommen :/
Nungut unter etch läuft das alles ja ganz wunderbar. Allerdings ist mir das aufgrund der massigen Howtos zu diesem Thema ist mir eines noch nicht ganz klar. Wenn ich es richtig verstanden habe und luks nur den Kopf der Partition bearbeitet sind ja die Daten noch nicht verschlüsselt, oder?
Die Tatsache, dass das Erstellen der Partition mit luks nur wenige Sekunden trotz der 600 Mhz Cpu gedauert hat hat mich etwas verwirrt. Ich habe dann mal dateien kopiert und mittels TOP die Systemauslastung angeschaut. Dort konnte ich aber keine Auffälligkeiten entdecken. Auch der Schreibtest mit hdparm hat bei allen Partitionen gleich funktioniert.
Hab ich vielleicht irgendwas ausgelassen? Muss erst nachdem mit luks der Kopf der Partition erstellt wurde etwas verschlüsselt werden?
Vielen Dank,
Irgendwer
Verschlüsselt cryptsetup-luks wirklich???
Keine Angst, wenn du mit luksFormat die Partition eingerichtet hast werden alle neuen (!) Daten darauf auch verschlüsselt.
Im LUKS-Header steht im Prinzip nur der Masterschlüssel (verschlüsselt mit den Passwörtern oder Keyfiles oder was auch immer) und Angaben zum verwendeten Algorithmus. Bei luksFormat wird nur dieser Header erstellt, Daten die vorher schon auf der Partition waren liegen nach wie vor unverschlüsselt vor. Um diese zu überschreiben hättest du (am besten vorher, siehe nächster Absatz) die Partition mit einem geeigneten Programm (z.B. shred oder einfach dd if=urandom) überschreiben müssen.
Die Verschlüsselung braucht (zumindest bei mir) durchaus einiges an CPU, beim Kopieren großer Dateien geht das bei mir an die 100% (wobei anzumerken ist daß ich ein komplett verschlüsseltes System habe, bis auf /boot). Ob das die Regel ist kann ich nicht beurteilen, aber bei meinen Test auf dem Laptop war es IIRC genau so. (Grad mal geschaut: kjournald und kcryptd wechseln sich an der Spitzenposition ab mit werten zwischen 15% und 60% CPU wenn ich ein paar größere Dateien kopiere.)
MfG, goeb
Im LUKS-Header steht im Prinzip nur der Masterschlüssel (verschlüsselt mit den Passwörtern oder Keyfiles oder was auch immer) und Angaben zum verwendeten Algorithmus. Bei luksFormat wird nur dieser Header erstellt, Daten die vorher schon auf der Partition waren liegen nach wie vor unverschlüsselt vor. Um diese zu überschreiben hättest du (am besten vorher, siehe nächster Absatz) die Partition mit einem geeigneten Programm (z.B. shred oder einfach dd if=urandom) überschreiben müssen.
Die Verschlüsselung braucht (zumindest bei mir) durchaus einiges an CPU, beim Kopieren großer Dateien geht das bei mir an die 100% (wobei anzumerken ist daß ich ein komplett verschlüsseltes System habe, bis auf /boot). Ob das die Regel ist kann ich nicht beurteilen, aber bei meinen Test auf dem Laptop war es IIRC genau so. (Grad mal geschaut: kjournald und kcryptd wechseln sich an der Spitzenposition ab mit werten zwischen 15% und 60% CPU wenn ich ein paar größere Dateien kopiere.)
MfG, goeb
Hey,
danke für die fixe Antwort
Das mit den neuen Daten ist zumindest für mich erstmal nicht so das Problem. Ich teste halt noch rum.
Ich hab grade nochmal eine knapp 100 Mb große datei auf eine (angeblich) verschlüsselte Partition rüberkopiert. Der kjournald hat zwar so ~20% CPU Last verbraucht, das scheint mir aber doch recht wenig. Selbst mit scp braucht das bei der Kiste etwas mehr. Ich hab bis jetzt nur mit Verschlüsselung unter Windows zu tun gehabt und da hat das verschlüsseln ewig gedauert.
Der kcryptd ist zwar da, macht aber irgendwie gar nichts. Also verbraucht keine Last usw.
Hab das mit dem Befehl cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y -T 10 luksFormat /dev/hdd1 test eingerichtet. Viel mehr kommt doch beim eigentlichen "Erstellen" der Partition nicht dazu?
Hab ich da was falsch eingerichtet?
Dankeeee nochmal,
Irgendwer
danke für die fixe Antwort
Das mit den neuen Daten ist zumindest für mich erstmal nicht so das Problem. Ich teste halt noch rum.
Ich hab grade nochmal eine knapp 100 Mb große datei auf eine (angeblich) verschlüsselte Partition rüberkopiert. Der kjournald hat zwar so ~20% CPU Last verbraucht, das scheint mir aber doch recht wenig. Selbst mit scp braucht das bei der Kiste etwas mehr. Ich hab bis jetzt nur mit Verschlüsselung unter Windows zu tun gehabt und da hat das verschlüsseln ewig gedauert.
Der kcryptd ist zwar da, macht aber irgendwie gar nichts. Also verbraucht keine Last usw.
Hab das mit dem Befehl cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y -T 10 luksFormat /dev/hdd1 test eingerichtet. Viel mehr kommt doch beim eigentlichen "Erstellen" der Partition nicht dazu?
Hab ich da was falsch eingerichtet?
Dankeeee nochmal,
Irgendwer
Du meinst wahrscheinlich etwas in der Art:Irgendwer hat geschrieben:Hab das mit dem Befehl cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y -T 10 luksFormat /dev/hdd1 test eingerichtet.
Code: Alles auswählen
cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat <Device>
cryptsetup luksOpen <Device> <Mapper>
mke2fs -j /dev/mapper/<Mapper>
mount /dev/mapper/<Mapper> <Mountpoint>
Hier liest doch sicher noch jemand mit verschlüsselter Partition mit, kann jemand mal noch ein paar Zahlen für die CPU Auslastung angeben? Bei mir sind es wie gesagt beim Kopieren von einer verschlüsselten Partition auf eine andere 100% (ach ja, falls jemand fragt, DMA ist aktiviert).
MfG, goeb
Ja,
in etwa so. Ich hab halt da "nur" das reine Einrichten gemeint. Aber der Vorgang ist so ziemlich der gleiche. Habe nur anstatt mke2fs -j /dev/mapper/<Mapper>
mkfs.ext /dev/mapper/<Mapper> genommen.
Ansonsten ist alles gleich.
Ich hab nochmal Dateien kopiert. Leider ist da wieder entsprechendes rausgekommen
Habs einmal mit "cp" kopiert und einmal mittels "scp". Beide male hat kcrypted keine Auslastung beansprucht.
Ich mache das alles mittels ssh. Ist also kein KDE oder sonstwas installiert. Hat das vielleicht was damit zu tun?
Aber dennoch müsste doch da was mehr an Auslastung sein?
Mfg,
Irgendwer
in etwa so. Ich hab halt da "nur" das reine Einrichten gemeint. Aber der Vorgang ist so ziemlich der gleiche. Habe nur anstatt mke2fs -j /dev/mapper/<Mapper>
mkfs.ext /dev/mapper/<Mapper> genommen.
Ansonsten ist alles gleich.
Ich hab nochmal Dateien kopiert. Leider ist da wieder entsprechendes rausgekommen
Habs einmal mit "cp" kopiert und einmal mittels "scp". Beide male hat kcrypted keine Auslastung beansprucht.
Ich mache das alles mittels ssh. Ist also kein KDE oder sonstwas installiert. Hat das vielleicht was damit zu tun?
Aber dennoch müsste doch da was mehr an Auslastung sein?
Mfg,
Irgendwer
Also um zu testen ob etwas wirklich verschlüsselt, kannst du folgendes machen:
1. Erstelle eine kleine Container Datei. Du kannst es auch mit einer echten Partition machen (/dev/hdx), dann dauert es aber eventuell ziemlich lange.
2. Erstelle ein normales Dateisystem im Container.
3. Mounte das Dateisystem.
4. Erstelle eine Textdatei mit irgendeinem Inhalt.
5. Mache einen grep auf deinen Container und suche nach dem Dateiname oder den Inhalt der Textdatei. Dies sollte gefunden werden.
6. Erstelle nun ein verschlüsseltes Dateisystem im Container.
7. Wiederhole Schritt 3 bis 5. Nun sollte nix mehr gefunden werden
1. Erstelle eine kleine Container Datei. Du kannst es auch mit einer echten Partition machen (/dev/hdx), dann dauert es aber eventuell ziemlich lange.
2. Erstelle ein normales Dateisystem im Container.
3. Mounte das Dateisystem.
4. Erstelle eine Textdatei mit irgendeinem Inhalt.
5. Mache einen grep auf deinen Container und suche nach dem Dateiname oder den Inhalt der Textdatei. Dies sollte gefunden werden.
6. Erstelle nun ein verschlüsseltes Dateisystem im Container.
7. Wiederhole Schritt 3 bis 5. Nun sollte nix mehr gefunden werden