Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
-
pt0
- Beiträge: 141
- Registriert: 09.08.2006 23:15:12
Beitrag
von pt0 » 20.01.2007 14:54:04
Hallo,
gestern bin ich extra von Sarge auf Etch umgestiegen, um die Festplatten verschlüsseln zu können. Die Situation: es sind mehrere HDs eingebaut, die ich alle (außer /boot) verschlüsseln möchte. Mit den Anleitungen aus
Code: Alles auswählen
http://www.linuxforen.de/forums/showthread.php?p=1317084
http://wiki.ubuntuusers.de/komplette_Verschlüsselung
habe ich es geschafft, eine neu angeschaffte HD zu verschlüsseln. Beim Booten wird dann das Passwort abgefragt. Nun möchte ich auch die anderen HDs verschlüsseln. Allerdings möchte ich nur eine Passwort-Abfrage, also nicht für jede Partition getrennt das PW eingeben müssen. Ist das machbar? Kann man eigentlich auch nachträglich noch das Passwort ändern, um z.B. ein längeres zu nehmen? Sind verschlüsselte Partitionen gegenüber Defekten irgendwie anfälliger (ich möchte ext3 als FS nehmen)?
PS: Ein bischen Bedenken habe ich ja noch wegen Aufwärtskompatibilität: Beim nächsten System-Upgrade nicht mehr auf die verschlüsselten Partitionen zugreifen zu können, weil sich irgendwas am Kernel geändert hat oder das Verschlüsselungsprogramm nicht mehr läuft...
-
C_A
- Beiträge: 1082
- Registriert: 22.04.2004 14:51:01
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von C_A » 20.01.2007 15:23:02
Ich stand mal vor gleicher Aufgabenstellung
(einziger Unterschied: ich verwende Sarge)
Ich habe dazu fuer die weiteren zu verschluesselnden Platten je ein keyfile angelegt und diese auf der ersten Platte abgelegt (die per Passphrase abgesichert ist).
Deshalb Merke: Mach backups von den keyfiles denn wenn die erste Platte mit den keyfiles futsch ist und du keinen Zugriff mehr auf die keyfiles hast, hast du auch keinen Zugriff mehr auf die restlichen (verschluesselten) Platten.
-
pt0
- Beiträge: 141
- Registriert: 09.08.2006 23:15:12
Beitrag
von pt0 » 20.01.2007 15:27:21
C_A hat geschrieben:Deshalb Merke: Mach backups von den keyfiles denn wenn die erste Platte mit den keyfiles futsch ist und du keinen Zugriff mehr auf die keyfiles hast, hast du auch keinen Zugriff mehr auf die restlichen (verschluesselten) Platten.
Genau das schreckt mich noch vor den keyfiles zurück. Kann man denn auch nachträglich keyfiles anlegen, wenn man eigentlich zunächst "normal" mit PW verschlüsselt hat, oder muß man dazu erst wieder die Partitionen plätten?
-
C_A
- Beiträge: 1082
- Registriert: 22.04.2004 14:51:01
- Lizenz eigener Beiträge: GNU General Public License
Beitrag
von C_A » 20.01.2007 15:34:13
pt0 hat geschrieben:Genau das schreckt mich noch vor den keyfiles zurück.
Ich versteh dich nicht ganz, waere diese Sache nicht gegeben (ohne keyfiles - kein Zugriff), waere es ja auch sinnlos die Platte zu verschluesseln.
pt0 hat geschrieben:Kann man denn auch nachträglich keyfiles anlegen, wenn man eigentlich zunächst "normal" mit PW verschlüsselt hat, oder muß man dazu erst wieder die Partitionen plätten?
Ich wuerde mal sagen dass dies nicht moeglich ist ein Passphrase verschluesselte Platte zu einer keyfile verschlusselte Platte zu "konvertieren". Ich habe aber immer nur mit der "einfachsten" Art gearbeitet sprich ohne LUKS usw.
Wenn man LUKS verwendet kann mach auch im nachhinein die Passphrase aendern iirc.
-
pt0
- Beiträge: 141
- Registriert: 09.08.2006 23:15:12
Beitrag
von pt0 » 20.01.2007 15:39:43
C_A hat geschrieben:pt0 hat geschrieben:Genau das schreckt mich noch vor den keyfiles zurück.
Ich versteh dich nicht ganz, waere diese Sache nicht gegeben (ohne keyfiles - kein Zugriff), waere es ja auch sinnlos die Platte zu verschluesseln.
Nunja, man muß die keyfiles extra sichern. Sonst muß man sich "nur" das PW merken.
C_A hat geschrieben:pt0 hat geschrieben:Kann man denn auch nachträglich keyfiles anlegen, wenn man eigentlich zunächst "normal" mit PW verschlüsselt hat, oder muß man dazu erst wieder die Partitionen plätten?
Ich wuerde mal sagen dass dies nicht moeglich ist ein Passphrase verschluesselte Platte zu einer keyfile verschlusselte Platte zu "konvertieren". Ich habe aber immer nur mit der "einfachsten" Art gearbeitet sprich ohne LUKS usw.
Wenn man LUKS verwendet kann mach auch im nachhinein die Passphrase aendern iirc.
Mal gucken...
-
uljanow
- Beiträge: 529
- Registriert: 20.09.2005 21:14:00
Beitrag
von uljanow » 20.01.2007 17:13:22
pt0 hat geschrieben:Beim Booten wird dann das Passwort abgefragt. Nun möchte ich auch die anderen HDs verschlüsseln. Allerdings möchte ich nur eine Passwort-Abfrage, also nicht für jede Partition getrennt das PW eingeben müssen. Ist das machbar? Kann man eigentlich auch nachträglich noch das Passwort ändern, um z.B. ein längeres zu nehmen? Sind verschlüsselte Partitionen gegenüber Defekten irgendwie anfälliger (ich möchte ext3 als FS nehmen)?
Du könntest in einen verschlüsselten Container alle keys und Passwörter speichern und dann luks mit diesen Passwörtern über file-descriptoren füttern. Dann müsste man nur noch das Passwort für den Container eingeben.
-
haegar
Beitrag
von haegar » 20.01.2007 17:53:28
Als ich damals ausprobiert habe wie das mit der Verschlüsselung im praktischen Einsatz aussieht, habe ich mir eine Schlüsselpartition angelegt, die dann, nachdem die anderen Partitionen gemappt worden waren, gleich wieder ausgehängt und auch wieder "zugemacht" wurde.
Verwende LUKS, dann kannst du mehrere Passwörter und auch Keyfiles (parallel) verwenden.
Inwieweit Speicherabbilder von den Keyfiles dann aber noch existieren weiß ich nicht, also ob man im laufenden Betrieb die Keyfiles noch irgendwo aufspüren könnte.
hägar
-
pt0
- Beiträge: 141
- Registriert: 09.08.2006 23:15:12
Beitrag
von pt0 » 20.01.2007 18:07:04
Danke für die bisherigen Antworten. PWs kann man tatsächlich ändern, bzw. neue hinzufügen (cryptsetup luksAddKey) und alte löschen (cryptsetup luksDelKey). Die keyfiles auf eine eigene Partition zu legen wäre natürlich auch eine Idee. Ich werde es aber wohl erst mal doch so machen, dass ich auf die erste mit PW verschlüsselte Partition die keys für die anderen Partitionen lege. Muß man dann halt die keys gut sichern... Allerdings habe ich auch gerade unter
Code: Alles auswählen
http://wiki.chaostreff.ch/index.php/Festplattenverschlüsselung
gelesen, dass
a) man kein ext3 für die Partition mit den keyfiles verwenden sollte (das spräche wieder für eine eigene Partition für die keys), und
b) man statt AES lieber twofish nehmen sollte.
Meinungen?
-
haegar
Beitrag
von haegar » 20.01.2007 18:38:06
zu a) Meiner Vermutung nach ist der Grund kein ext3 zu nutzen, dass eventuell über das Journal Informationen über den Schlüssel in Erfahrung gebracht werden können.
zu b) Ich denke mal, dass diese Frage sehr schwierig zu beantowrten ist und dass auch die Verfasser aller möglichen Wiki-Einträge und/oder Webseiten darüber, ihr Wissen nur aus zweiter, dritter, vierter (...) Hand beziehen. Vom Standpunkt aus gesehen, dass all diese Verfahren es in die Endausscheidung des AES-Wettbewerbs geschafft haben, wage ich mal zu behaupten, dass die Unterschiede marginal sind.
hägar
-
pt0
- Beiträge: 141
- Registriert: 09.08.2006 23:15:12
Beitrag
von pt0 » 20.01.2007 19:38:48
haegar hat die Idee mit der separaten Schlüsselpartition eingebracht. So hab' ich's jetzt auch mal gemacht: Auf die HD zwei Partitionen gebracht, einmal eine winzige (paar MB) ext2-Partition für die Schlüssel. Die zweite Partition (ext3) für die Daten. Mal sehen, wie sich das bewährt. Gebootet hat es schon mal korrekt
