@Widar

Also wenn ich das jetzt richtig verstanden habe. Willst Du von XP die Daten sichern und hast eine 2. partition gemacht auf der Du die Daten per Live-CD ziehen willst, um danach Arch nach dem Wiki zu installieren?.

Wenn dem so ist, dann geht das so. Einfach das Partitionieren, was mal deiN XP war und die Platte sontiges kannst Du irgendwann einbinden, nach der installation. Ist ja nur ein Eintrag in /etc/fstab und einer in /etc/cryptotab
So ähnlich. Der Laptop war schon partitioniert, in 3 Partitionen:
C: = 15GB
D: = 70GB
E: = 200 und nen paar zerquetschte

Auf C: ist das System, also XP, D: wurde für Programme genutzt und E: für private Sachen. Ich hatte mit der Arch CD dann die Platte D:, also sda2, zu ext3 formatiert. Dann habe ich unter Windows so nen ext3 Treiber installiert und die persönlichen Daten von E: auf die neu erstellte sda2, also ehemals D: kopiert.

Eigentlich will ich die Aufteilung auch gleich so lassen.
C: soll zu / werden
D: soll /home werden
E: soll die verschlüsselte Partiton werden wo der Privatkram von meiner Frau raufkommt

E: will ich jetzt verschlüsseln, dann die vorher gesicherten Daten von ehmals D: auf die neue verschlüsselte Partition kopieren, dann die Partitionierung für C: und ehemals D: noch etwas anpassen zwecks swap und dann installieren.

Bei meiner Frau reicht es wenn Ihre privaten Sachen gesichert sind, auf /home soll nur ihre Musik und so nen kram. Der private Teil eben ins verschlüsselte.

Ich hoffe ich habe das jetzt verständlich ausgedrückt <undecided>
Also ich würde es so machen:

Ich nehme mir irgend ne neuere LiveCD, mache aus E: nen crypto-device und schiebe alles was de brauchst dort rein(von der LiveCD aus). Danach Arch nach Wiki installieren und E. einbinden. Ist die Frage wie Du dann sda2(jetzt E) einbinden willst. Ich denke mal Deine Frau soll nicht durchs PW genervt werden.
von daher würde ich nen kleines File anlegen, wo erst cryptsetup luksOpen... danach mount .... drin steht und das ganze Script per Autostart in Gnome mit gksu oder KDE mit kdesu automatisch mounten. Brauchst dann bloß nachm einloggen, noch dein PW eingeben. Bei KDE must Du darauf achten, dass Du das Autostartteil auch in einer Konsole öffnest(Must ja nur den haken setzen wenn Dud en Befehl hinzufügst), sonst siehst Du die PW-Eingabe nicht, bei Gnome, weiß ich gerade nicht wie das geht.

Wenn Du E: erstmal fertig hast kannste das ja ignorieren, normal installieren und dann irgendwann einbinden, wenn Dein System steht. Ist jetzt für mich das Stressfreieste was mir einfällt.

Von Windows aus fällt mir kein Weg ein, wie Du die Daten in ein Linux-Crypto-Device bekommst, was ja auch nicht sein muss.
Kann man Arch nicht auch in ner VM unter Windows laufen lassen?
Oder:
http://www.freeotfe.org/
FreeOTFE allows dm-crypt and LUKS volumes to be mounted and used under MS Windows
@ Weltio

Man kann unter Windows auch Arch installieren in ner VM. Zumindest geht es mit Vmware Workstation 6.5 .

@ ChrisGT

Nee, von Windows nicht, ich hätte die Arch CD gestartet und es dann kopiert, wäre ja kein Problem da die D: Partition ja schon ext3 ist. Aber das mit der Live CD werde ich mal probieren.

Nur noch eine Frage, da ich bei dem Laptop ja nur eine Partition und nicht das ganze System verschlüssel.
Beim kopieren des Mapper-Devices ändert sich nix, oder?
Also: " cp -r /dev/mapper /mnt/root/dev/mapper"

Ich werde mal schauen. Ich hab hier noch ne Ubuntu Live CD dieich mal brauchte um an einige Systemdateien ranzukommen als Arch nicht mehr lief.

Danke für die Hilfe
Must Du ja nicht. Bei dem Befehl cryptsetup "luksOpen ... sonstiges" wird die Datei /dev/mapper/sonstiges angelegt, somit brauchst Du das nur nach der Installation bzw. auf der Live-CD mit Hand in der Konsole öffnen. Komischerweise legt es diese Datei bei mir beim abarbeiten von /etc/crypttab nicht an, sondern greift auf diese nur zurück, weswegen es diesen Schritt mit dem cp überhaupt nur bei mir gibt. Frag nicht warum, ich habe keine Ahnung :lol: Ich hatte bisher jedenfalls einige male Probleme, so dass ich bei nem komplett verschlüsselten System neu starten muste, die devices öfnnen und dann cp /dev/mapper machen muste, danach gings.
Als ich den Desktop nach Deiner Anleitung gemacht hatte, da hatte ich keine Probleme. Es lief alles bestens.

Das mit dem Laptop habe ich jetzt kapiert. CryptoDevice anlegen, dann Live CD starten, CryptoDevice einhängen und Daten rüber kopieren, dann Arch normal installieren und zum Schluß den Eintrag in die fstab.

Argh...alles kompliziert. Da fand ich die Möglichkeit im Installer von Debian klasse, dort konnte man das sehr bequem machen. Aber so lernt man dazu <idea3>

Besten Dank <2thumbsup>
Widar
@Widar

Swap ist auch aktiv? Bei mir zeigts so momentan nach dem Neustart nen Fehler bei Swap aktivieren an
Mhm jo - wie bekommt man eigentlich die UUID der swap, wenn sie durch dm-crypt beim Start verschlüsselt wurde? O.o
Irgendwie sagt luksDump nichts - blkid auch nicht 🙁
Gute Frage, das funktioniert bei mir auch nur mit den normalen Partitionen. Ich verwende eh lieber die normalen Device-Bezeichnungen
@ChrisGT
Swap habe ich nach dem englischen Wiki verschlüsselt, ohne Probleme.

@Weltio

Zuerst musst Du "blkid /dev/sda" ausführen, sda musst Du an die Partition anpassen wo Du deinen swap hast. Diese UUID trägst Du dann in die "crypttab" ein.
Dann musst Du noch "blkid /dev/mapper/swap" ausführen, diese UUID trägst Du dann nur noch in die "fstab" ein, das ist alles.
Update zum Wiki.

Wie verpsrochen setze ich mich gerade ans Wiki.

1. Das Swap-Problem ist gelöst, das Wiki zum verschlüsseln an sich ist nun vollständig. Ich habe es auch noch einmal getestet und es lief(mit Serpent) alles einwandfrei).

2. Zu der letzten Zeile cp /dev/mapper.... habe ich noch etwas genauer geschrieben, warum es diese Zeile bei mir überhaupt gibt

3. Die Links mit KLICK MICH wurden auf Wunsch ausgebessert.

Die Sache mit CHROOT gehe ich nun an. Mal sehen wie lange ich brauche.

Wer sonst noch Tips hat oder Vorschläge, dann her damit

NACHTRAG: Chroot ist auch fertig und wurde getestet.

Dann müste ich ja erstmal durch sein :lol:
Hey, Danke erstmal für Deine Arbeit.
Partitioniert ist meine Festplatte schon, wenn ich die Tage Zeit habe werde ich nach Deinem Wiki vorgehen 🙂
Ich habe in nem anderen Wiki folgende Aussage gefunden:

" ... bei XTS werden 512 Bit angegeben, da der XTS-Algorithmus zusätzliche 256 Bit für die Verknüpfung der Blöcke benötigt. "

Was ist denn da dran?
Es ist doch egal ob ich 256 Bit nehme oder 512 oder?
Das ist so meiner Ansicht nach schon ganz sicher. Ich sollte den Absatz im Wiki noch etwas besser ausdrücken.

In diesem Wiki von Ubuntu ist es ganz gut beschrieben:

http://wiki.ubuntuusers.de/LUKS

Sprich beides ist aus meiner Sicht ganz OK, das eine schneller, das andere noch etwas sicherer.

Wenn Ihr das wünscht ersetze ich auch das etwas schneller durch das etwas sicherer. Bisher habe ich jedenfalls nichts gefunden, was gegen diese 256 sprechen würde und deswegen benutze ich die. Festplatten verschlüsseln kostet schon genug speed
Ich hatte die Aussage hier gefunden:

http://wiki.ubuntuusers.de/Baustelle/System_verschl%C3%BCsseln

Ich habe auch 256 Bit genommen. Hatte den Beitrag nur eben dort gefunden als ich da wegen nem Programm geschaut habe.

Ahso, das mit der Live CD hat bestens funktioniert.
Crypto Device angelegt, dann Ubuntu Live CD gestartet, Crypto Device eingehangen, Daten rüberkopiert und dann Arch installiert. Zum Schluss noch in die fstab und die crypttab eingetragen uns alles war bestens.
Ein Problem ist natürlich momentan noch die Menge an Informationen.

Infos zu AES, Twofish(eigentlich mein Liebling) und Konsorten gibts an jeder Ecke, zu XTS was zu finden ist noch gar nicht so leicht.

Benchmarkwerte mit 256 und 512 würden mich mal interessieren, aber um das zu testen habe ich schlicht keine Zeit.

Das mit dem Verknpfen der Blöcke ist schon richtig und deswegen haben dann beides auch nur 128 bit bei den angegebenen 256. Aber wie gesagt, selbst das ist heutzutage noch ausreichend sicher. Ich werde mich die Tage noch einmal ransetzen und das noch etwas deutlicher Formulieren, damit die Leute besser abwägen können. Soll ja Leute geben die ein noch ausgeprägteres Sicherheitsempfinden haben als ich :lol: Bei Versionsabhängigen Distries wo man eh öfter neuinstalliert tuts definitiv 256, bei Arch naja, muss man es selber wissen. Ich sag: 256 tuts och

NACHTRAG: Was ich gerade sehe: http://downloads.archlinux.de/iso/archboot/2009.04/

Da ist wohl auch Verschlüsseln direkt per setup-script möglich. Hab ich noch nich getestet. Müste ich dann wohl oder übel mit ins Wiki einbauen.
1. Habe nun doch die key-Size auf 512 als Standart gesetzt, da alle anderen Wikis auch 512 nutzen und in einem Hinweis deutlicher gemacht das 256 eigentlich im Normalfall ausreichen und man sich lieber Gedanken um das PW machen sollte.

2. Ein paar Fehler wurden beseitigt.

3. Ich habe das 04.2009 Image kurz angetestet. Also die Grundlagen bleiben gleich, ich muss nach der Veröffentlichung allerdings ein paar Kleinigkeiten anpassen, da einiges im Installer hinzugekommen ist. Die Möglichkeit im Setup zu verschlüsseln ist allerdings noch nicht ausgereift und es fehlen einige Auswahlmöglichkeiten, so dass Handarbeit weiterhin besser ist und es mein Wiki nicht ganz Sinnfrei macht :lol:
Mich würde ja noch interessieren was ich in die "crypttab" eintragen muss, damit er meine Partition gleich beim booten einbindet. Also das ich beim booten das Passwort eigeben kann.

"sowieso /dev/sda9 none luks,retry=3"

Klappt nicht :/