Arch Linux

Wiki Festplatte verschlüsseln

ChrisGT

@Upuaut

Danke werd ich testen. Ich weiß nur das meine letzte Lösung anders war, aber wenns funktioniert... :lol:

- Sollte ich mein Netbook verschlüsseln?
(wegen der Performance, ASUS Eeepc 1000H)

Müste gehen. Diese Netbooks sind eh nur zum Arbeiten/surfen gut(zum zocken is eh ne PS3 und ähnliches besser als nen PC). Also normal müste der das packen. Dürfte nicht wirklich ein großen Unterschied machen zu normal. Rechner mit weniger Power schaffen das auch. Starten von Programmen und des Systems könnte/dürfte etwas langsamer sein

- Kann ich zusätzlich noch Truecrypt verwenden?
(z.B. wenn ich am Zoll mein Netbook vorzeigen muss)

Wenn Du noch parallel ein Windows hast, solltest Du das eh tun unter Linux sehe ich keinen grund, da es im Endeffekt nicht sicherer macht(gleicher Algorithmus), du trotzdem eine Bootpartition brauchst und Truecrypt höchstens langsamer ist(hatte ich irgendwo mal gelesen, das TC unter Linux für partitionen nicht so dolle ist, nur für Container) bzw. sein dürfte.

Upuaut

ChrisGT schrieb
- Kann ich zusätzlich noch Truecrypt verwenden?
(z.B. wenn ich am Zoll mein Netbook vorzeigen muss)

Wenn Du noch parallel ein Windows hast, solltest Du das eh tun unter Linux sehe ich keinen grund, da es im Endeffekt nicht sicherer macht(gleicher Algorithmus), du trotzdem eine Bootpartition brauchst und Truecrypt höchstens langsamer ist(hatte ich irgendwo mal gelesen, das TC unter Linux für partitionen nicht so dolle ist, nur für Container) bzw. sein dürfte.

Hey, danke für die schnelle Antwort 🙂

Ich wollte Truecrypt auch nur für ein "Hidden Volume" nutzen. Damit ich halt trotzdem noch einzelne Dateien verstecken kann.

ChrisGT

@Upuaut

Hab ich nie getestet mit den Hidden Volumes. Kann ich dir gar nix dazu sagen, aber wenn es normal unter Linux funktioniert, dann auch so. Truecrypt, wie auch allen anderen Programmen ist es schnurz egal ob Deine Festplatte verschlüsselt ist oder nicht. Von daher...

Eicca

Ich will nicht in deinem Wiki drin rumschreiben, aber ich beführworte immer noch /dev/random, statt /dev/urandom -- man kann semizufall nicht trauen 😉
Wenn du es für richtig hältst kannst du es ja abändern 😉

PS: Du könntest vll noch eine Möglichkeit einbauen nicht nur ext Partitionen zu erstellen, sondern auch was alternatives .. Ich weiß nicht, ob das auch so leicht mit einem Befehl geht?

ChrisGT

@ Eicca

Du könntest vll noch eine Möglichkeit einbauen nicht nur ext Partitionen zu erstellen, sondern auch was alternatives .. Ich weiß nicht, ob das auch so leicht mit einem Befehl geht?

Hab ich oben geschrieben, dass ich dazu eine Info ergänze. Mehr als ne Info brauchts nicht. Du formatierst das /dev/mapper/device ja ganz normal wie ne normale Partition. Sprich eigentlich müstest Du mit allem formatieren können was Kern unterstützt

Ich will nicht in deinem Wiki drin rumschreiben, aber ich beführworte immer noch /dev/random, statt /dev/urandom -- man kann semizufall nicht trauen
Wenn du es für richtig hältst kannst du es ja abändern

Schreibfehler. logisch nehm ich urandom :lol:

Upuaut

ChrisGT schrieb
Schreibfehler. logisch nehm ich urandom :lol:

? Also random???

Also die man random sagt:

The random device produces uniformly distributed random byte values of
potentially high quality.

To obtain random bytes, open /dev/random for reading and read from it.

To add entropy to the random generation system, open /dev/random for
writing and write data that you believe to be somehow random.

/dev/urandom is a compatibility nod to Linux. On Linux, /dev/urandom will
produce lower quality output if the entropy pool drains, while
/dev/random will prefer to block and wait for additional entropy to be
collected. With Yarrow, this choice and distinction is not necessary,
and the two devices behave identically. You may use either.

ChrisGT

Hab gerade nochmal nachgelesen. /dev/random ist schon richtig. Ich hatte bisher immer /dev/urandom genommen, da ich dachte das sei besser, was ein Irrtum ist. In meinem Wiki ist /dev/random ein Schreibfehler weil ich schon /dev/urandom schreiben wollte(so nen u verschwindet schon mal :lol:). Das gute an dem Schreibfehler: Jetzt muste ich nochmal nachlesen und bin auf der Sicheren Seite.

http://www.linux-user.de/ausgabe/2006/01/074-richtigloeschen/index.html

Im unteren Drittel der Seite in einem Kasten: Wie der Zufall will

Ich hake das mal unter der Kategorie "Wieder was gelernt" ab.

Die speziellen Dateien /dev/random und /dev/urandom generieren mit Hilfe eines Kernel-Treibers Pseudozufallszahlen. Der Begriff "Pseudo" deutet hier auf ein Handicap von Computern hin: Sie erzeugen keine wirklichen Zufallszahlen, sondern nur fast zufällige Werte. Trotzdem generieren /dev/random und /dev/urandom Zahlen, deren "Zufälligkeit" für die meisten kryptografischen Anwendungen auf einem PC ausreicht.

Der Zufallszahlengenerator des Kernels bedient sich beim Berechnen der Zahlenfolgen verschiedener interner Werte und angeschlossener Geräte, um eine geeignete Entropie der Zahlenverteilung zu erreichen. Entropie drückt das Maß der Zufälligkeit der in einer bestimmten Zeit erzeugten Zahlenfolge aus.

Anwendungen lesen aus den Dateien /dev/random und /dev/urandom einen Byte-Strom. Im Gegensatz zu /dev/urandom liefert /dev/random jedoch nur dann ein Byte, wenn eine genügend hohe Entropie erreicht wurde. Falls das nicht der Fall ist, blockiert das Gerät die Ausgabe, bis ausreichend Daten für eine hohe Entropie der Werte bereitstehen.

Da das mitunter eine Zeitlang dauert, erlaubt zwar der Non-Blocking-I/O-Modus das Abschalten dieser Blockade. Dadurch erhöht sich jedoch nicht die Ausgabegeschwindigkeit. Die von /dev/random gelieferten Bytes stellen die kryptografisch stärkeren Zufallszahlen zur Verfügung, und Sie dürfen diese guten Gewissens für lange Schlüsselfolgen und andere qualitativ anspruchsvolle Schlüsselmittel verwenden.

Die Datei /dev/urandom kümmert sich nicht um die vorhandene Entropie im Kernel-Generator. Eine niedrige Entropie blockiert nicht die Ausgabe von Bytes. Die Zufallszahlen machen ihrer Klasse Pseudo dann zwar alle Ehre, jedoch besteht nicht immer die Notwendigkeit, qualitative Höchstnoten zu erreichen.

Vor allem bei Anwendungen mit Schlüsseln geringer Halbwertszeit, wie beispielsweise Sitzungsschlüssel in einer Web Session, beim Auffüllen von Bereichen mit Rauschen oder Kurzzeitauthentisierungen in Challenge-Response-Verfahren reicht /dev/urandom bereits aus.

Nachtrag: Sag mal bin ich blöde? das stand heute morgen ja /dev/urandom, ich hatte gestern gelesen und /dev/random gelesen und es deswegen gelassen. Naja, habs angepasst.

ChrisGT

So das mit den Filesystemtypen habe ich ergänzt. Ich habe einfach einen Hinweis beim formatieren gesetzt. Ich denke mal das ist ausreichend. Hoffe ich zumindest.

Dirk

Upuaut schrieb - Sollte ich mein Netbook verschlüsseln?
(wegen der Performance, ASUS Eeepc 1000H)

Habe ich gemacht, und sehe da kein Problem drin. Klar, Zugriffe sind etwas langsamer, aber der Atom-Prozessor ist ja eh nicht der schnellste, von daher ist das vernachlässigbar.

Upuaut schrieb - Kann ich zusätzlich noch Truecrypt verwenden?

Klar, aber warum solltest du?

Upuaut

Dirk Sohler schrieb Klar, aber warum solltest du?

Falls ich mal "gezwungen" werde mein Passwort preiszugeben......

http://www.magic-volker.de/uploads/logos/Stoppt_Schaeuble_klein.jpg

tomprogrammer

Upuaut schrieb Falls ich mal "gezwungen" werde mein Passwort preiszugeben......

Ich glaube, dass in Deutschland durch Behörden keine Passwörter erzwungen werden können. Auch nicht auf dem gerichtlichen Weg.

Am besten du suchst im Netz mal danach, ich bin mir nicht sicher. Aber so weißt du ob ein Truecrypt-Container notwendig ist.

Dirk

Upuaut schrieb Falls ich mal "gezwungen" werde mein Passwort preiszugeben......

Dann wirst du vermutlich so lange gezwungen werden, bis du auch den Letzten verschlüsselten Container im hintersten Winkel der verschlüsselten Platte geöffnet, und für das darin versteckte ODT-Dokument das Passwort verraten hast.

Andererseits wüsste ich nicht, dass Daten verzollt werden müssen. Ergo hat der Zoll das Passwort gar nicht zu brauchen – Wir sind ja nicht in den USA hier.

Upuaut

Wenn ich mir die Anleitung unter http://wiki.archlinux.de/title/Benutzer:ChrisGT/Festplatte_verschl%C3%BCsseln anschaue, dann sieht mir das nach einer ganz neuen Wiki Seite aus und nicht nach einer Ergänzung.

Vielleicht solltest Du noch das Beispiel mit dem Kernel Update (Kernel auf Installationsmedium ist älter) aufnehmen.

Ansonsten sieht es gut aus. Super Arbeit ChrisGT.
Ich habe vor es demnächst zu testen 😉

Weltio

Dieses "KLICK MICH" passt irgendwie nicht - willst du nicht treffende Bezeichnungen verwenden?
Man sieht, dass es ein Link ist.

ChrisGT

Falls ich mal "gezwungen" werde mein Passwort preiszugeben......

Naja der Staat kann Dich in Deutschland nicht zwingen. Bis auf England ist mir ansonsten kein Land in Europa bekannt, wo man Dich zwingen könnte, also mal keine Sorge. Du hast ein allgemeines Aussageverweigerungsrecht als Beschuldigter und das können die iN Deutschland und den meisten anderen Ländern gar nicht so schnell ändern, das es die Verfassung/Grundgesetz nicht hergibt, sprich das erst geändert werden müste

Dieses "KLICK MICH" passt irgendwie nicht - willst du nicht treffende Bezeichnungen verwenden?
Man sieht, dass es ein Link ist.

Werd ich ändern

Wenn ich mir die Anleitung unter http://wiki.archlinux.de/title/Benutz... anschaue, dann sieht mir das nach einer ganz neuen Wiki Seite aus und nicht nach einer Ergänzung.

Hatte ich ja auch mehr oder weniger vor. Muss dann der Admin entscheiden was er für besser hält, oder halt beide Artikel rein nehmen.

Upuaut

Wie ich oben schon einmal schrieb wäre es noch interessant zu erfahren wie ich denn z.B. mit meiner Arch CD (als Rettungs CD) auf meine verschlüsselte Festplatte zugreifen kann. Z.B. wenn ein Kernel update nicht hingehauen hat und ich downgraden möchte.

ChrisGT

@Upuaut

Hatte ich auch noch vor.
Wie gesagt ist meine Zeit begrenzt(Nebenbei auf Arbeit hier im Forum ist kein Ding :lol: )

Was also noch gemacht wird:

1. Die Links ändern
2. Einloggen per CD und chroot
3. Einbindung von swap

Wem noch was einfällt her damit.

Nächste Woche hab ich frei und dann mache ich alles fertig

Widar

Hallo Chris,

da hat sich ja wirklich was getan, deswegen will ich heute auch das System neu aufsetzen.
Meine Frage ist jetzt, kann ich vormals erstellte und verschlüsselte Partitionen wieder ganz normal einbinden wenn ich Arch neu installiere?

Sprich, ich habe eine Partition als " /sonstiges " eingebunden, da sind weniger sensible Daten drauf weswegen es nur mit AES verschlüsselt ist.
Kann ich diese Partition dann einfach wieder einbinden wenn ich Arch neu aufsetze? Quasi nach Deiner Anleitung, nur das ich eben erst nach dem Punkt mit der Formatierung anfange?

Wenn ich da sicher sein kann, dann kann es losgehen.

Gruß
Widar

ChrisGT

@Widar

OK Deine Frage sollte man eventuell mit ins Wiki nehmen, vielleicht unten drunter, unter nem Punkt Problemlösung und dort auch das mit chroot rein

Ja kannst Du. Um es kurz zu machen.

1. Cd rein und starten
2. Module laden
3. Die crypto-Devices ÖFFNEN(Den Schritt cryptsetup luksFormat einfach weglassen)
4. Das crypto-device wie im Wiki mounten und
5. wenn de alles gemounted hast, wie im wiki.

Du überspringst eigentlich nur die Schritte mit cryptsetup luksFormat und den Keys erstellen(logisch)

Wenn Du nur diese /sonstige Partition hast und der Rest ist unverschlüsselt, kannst Du diese Partition auch nach ner Installation manuell einbinden.

es nur mit AES verschlüsselt ist

Nur AES? Also AES ist derzeit sehr sicher und es nimmt sich von der Sicherheit nicht unbedingt viel mit anderen Algorithmen. Alle Algorithmen die momentan als sicher gelten(AES,Twofish, Serpent) haben alle die gleiche Schwachstelle ==> Dein Passwort. Direkte Angriffe auf den Algorithmus sind mir nicht bekannt(Sowas wie das einfrieren des Rams ist für mich kein Angriff auf den Algorithmus).

finswimmer

Hallo,
klasse das du den Artikel überarbeitest.

Was mich noch interessieren würde, wäre Verschlüsselung und LVM. Ich habe LVM bisher nie genutzt - habe es aber demnächst vor. Vielleicht ist das ja ganz leicht. Aber ein kleiner Hinweis wäre nicht schlecht.

Tschau

fin swimmer

« Vorherige Seite Nächste Seite »