debianx hat geschrieben: 
29.11.2017 13:36:17
- Gibt es für die Systemverschlüsselung ähnlich wie bei Vercrypt/Truecrypt ein Audit? Wie sicher ist die Vollverschlüsselung unter Debian einzuordnen?
Einen Audit nicht direkt, aber dafür verdammt viel Erfahrung. Denn bei dieser Implementierung hat man sich etwas gedacht, und letztendlich arbeiten daran keine unfähigen Menschen. Bis zum heutigen Tage ist dieses Verfahren unüberwindbar, ohne den richtigen Schlüssel. Und in der Vergangenheit wurde schon oft versucht es zu knacken. Hier wird jedenfalls sehr gewissenhaft gearbeitet, und es kommen stets nur solide Konfigurationen und Verschlüsselungsverfahren zum Einsatz.
Und apropos Audit: Gerade Truecrypt wurde jahrelang genutzt, unter kritischen unbekannten Sicherheitslücken, ohne dass hier jemals einmal in den Quellcode gesehen wurde. Die Entwickler sind bis heute völlig unbekannt. Dagegen basiert dm-crypt/LUKS seit jeher auf offenen und Langzeit erprobten Verfahren, die kontinuierlich weiterentwickelt wurden. Damit verglichen war Truecrypt zum Großteil experimenteller Code, zum Teil unsinnig als auch abenteuerlich, was man bspw. an der Kaskaden-Verschlüsselung sah.
debianx hat geschrieben: 29.11.2017 13:36:17
- Gibt es die Möglichkeit eine Vollverschlüsselung zu erreichen bei der verschiedene Verfahren kombiniert werden? (Sinn und Unsinn jetzt mal außen vor gelassen).
Nein gibt es nicht. Ist allerdings auch nicht notwendig, da alle modernen Verschlüsselungsverfahren wie, AES, Twofish oder Serpent, praktisch berechnungssicher sind. Beziehungsweise auch nach weit über 10 Jahren, noch keine praktikablen Angriffe existieren. Bei Twofish existiert nicht einmal ein vollständiger theoretischer Angriff, der den ganzen Verschlüsselungsalgorithmus umfasst. Und das nach 19 Jahren seit der Veröffentlichung. Man muss hier wahrhaftig keine Kaskaden errichten, bei dem was bereits existiert.
Wenn man unbedingt mit Kaskaden-Verschlüsselung arbeiten will, dann kann man auch gpg nutzen, was man beliebig oft in einer Pipe in Reihe schalten kann. Und das mit jeweils unterschiedlichen Schlüsseln und Verschlüsselungsverfahren. Also damit werden selbst enorm paranoide Menschen glücklich.
Doch mehrere Verschlüsselungsverfahren in Reihe zu schalten, die mit ein und demselben Schlüssel verschlüsselt werden, ist nicht wirklich clever. Und dabei ist es egal ob jede Kaskade intern einen anderen Masterkey nutzt, die Schwachstelle bleibt der Schlüssel bzw. das Passwort des Nutzers, der nahezu immer schwächer ist. Hinzu kommt, dass das je nach Datenträger eine ziemliche Belastung darstellt.
Zwar ist Diversität natürlich generell etwas Gutes, weshalb man das auch ausschöpfen sollte. Es gibt so viele Optionen, ob nun gpg oder eCryptfs, dm-crypt/LUKS oder die interne Ext4-Verschlüsselung. Nichts hält einen davon ab alle zu nutzen, die Verschlüsselung der Festplatte selbst ist nur ein möglicher Teil.
debianx hat geschrieben: 29.11.2017 13:36:17
- Wie kommt man bei der Installation an mehr Einstellmöglichkeiten zu dem Thema um zB ein bestimmtes Verfahren einzustellen oder eine Kaskade zu erstellen?
Was fehlt denn? Man kann die Verschlüsselungsverfahren doch selbst wählen, und der Rest ist sinnvoll voreingestellt. Standardmäßig ist das Hash-Verfahren sha256, die Hash-Iterationen liegen bei zwei Sekunden, und als Verschlüsselungsverfahren ist aes-xts-plain64 vorgegeben. Will man bei der grafischen Installation alles selbst definieren, muss man auf das Terminal wechseln, oder man installiert Debian komplett via Debootstrap.