@finswimmer

Puhh lvm müste ich mich auch erstmal reinarbeiten. LVM und raid hab ich noch nie benutzt. Gab bisher einfach keinen Grund
Vielen Danke für die Info.
Dann kann es ja gleich losgehen.

Natürlich ist AES sicher, daran zweifle ich nicht, allerdings gibt es inzwischen Veröffentlichungen zu möglichen Angriffsmöglichkeiten.
Mein System selber bleibt auch AES verschlüsselt, allerdings will ich meine wirklich sensiblen Daten (Konto etc.) lieber mit Serpent verschlüsseln.
Da ich meine sensiblen Daten auf einer extra Partition ablege wird auch die Geschwindigkeit des Systems glücklicherweise auch nicht beeinflusst.

Wegen dem Passwort, da kann ich auf folgende Seite verweisen:

https://passwortcheck.datenschutz.ch/check.php?lang=de

Grüße
Widar
Zum Thema Passwort folgender aktueller Artikel:

http://www.golem.de/0904/66680.html

Diese Kommentare sind auch ganz interessant:

http://forum.golem.de/read.php?32038,1733216,1733216#msg-1733216
Natürlich ist AES sicher, daran zweifle ich nicht, allerdings gibt es inzwischen Veröffentlichungen zu möglichen Angriffsmöglichkeiten.
Aber bisher alles theorie. Sollte es mal praktisch werden installier ich eben mit twofish neu.

Auf Serpent gibts seit 2002 (laut wikipedia) ja auch ne theoretische Attacke. Bei twofish wüste ich das jetzt nicht
Hmm, da kann man sich sicher drüber streiten, welches Verschlüsselungsverfahren jetzt das Beste ist.

Von der theoretischen Attacke bei Serpent bin ich informiert, allerdings soll sie ja nicht funktionieren.

Interessant ist es, das man inzwischen Grafikkarten zur entschlüsselung verwenden kann. Aber da mein Passwort über 40 Zeichen hat mache ich mir da erstmal keine Sorgen.

Zurück zum Thema, die Installation hat bestens funktioniert.
Eine Frage habe ich jetzt aber noch wegen meinem neuen Laptop,
auf dem ist noch XP drauf (war Standart), Arch hatte ich auf Ihm noch
nicht installiert weil ich warten wollte bis Dein Wiki-Beitrag fertig ist.

Ich habe auf ihm bereits eine ext3 Partition angelegt und die Daten von der NTFS Partition auf diese kopiert. Brennen will ich nicht weil mich das bei knapp 40 GB Daten etwa 10 DVD Rohlinge kosten würde.

Deswegen ne Frage. Meine Daten will ich ähnlich wie auf dem Desktop in einer extra gesicherten Partition lagern, sprich Bsp. " /sonstiges "
Eigentlich müsste ich dann doch nur dem Wiki folgen und die Partition verschlüsseln. Wenn ich sie dann mit " mount /dev/mapper/sonstiges /mnt/sonstiges" gemountet habe, kann ich dann die Daten von der ext3 Partition einfach nach " /mnt/sonstiges " kopieren und dann die Installation starten? Müsste doch so gehen, wenn ich auf dem richtigen Weg bin.

Grüße
Widar
@Widar

Also wenn ich das jetzt richtig verstanden habe. Willst Du von XP die Daten sichern und hast eine 2. partition gemacht auf der Du die Daten per Live-CD ziehen willst, um danach Arch nach dem Wiki zu installieren?.

Wenn dem so ist, dann geht das so. Einfach das Partitionieren, was mal deiN XP war und die Platte sontiges kannst Du irgendwann einbinden, nach der installation. Ist ja nur ein Eintrag in /etc/fstab und einer in /etc/cryptotab
So ähnlich. Der Laptop war schon partitioniert, in 3 Partitionen:
C: = 15GB
D: = 70GB
E: = 200 und nen paar zerquetschte

Auf C: ist das System, also XP, D: wurde für Programme genutzt und E: für private Sachen. Ich hatte mit der Arch CD dann die Platte D:, also sda2, zu ext3 formatiert. Dann habe ich unter Windows so nen ext3 Treiber installiert und die persönlichen Daten von E: auf die neu erstellte sda2, also ehemals D: kopiert.

Eigentlich will ich die Aufteilung auch gleich so lassen.
C: soll zu / werden
D: soll /home werden
E: soll die verschlüsselte Partiton werden wo der Privatkram von meiner Frau raufkommt

E: will ich jetzt verschlüsseln, dann die vorher gesicherten Daten von ehmals D: auf die neue verschlüsselte Partition kopieren, dann die Partitionierung für C: und ehemals D: noch etwas anpassen zwecks swap und dann installieren.

Bei meiner Frau reicht es wenn Ihre privaten Sachen gesichert sind, auf /home soll nur ihre Musik und so nen kram. Der private Teil eben ins verschlüsselte.

Ich hoffe ich habe das jetzt verständlich ausgedrückt <undecided>
Also ich würde es so machen:

Ich nehme mir irgend ne neuere LiveCD, mache aus E: nen crypto-device und schiebe alles was de brauchst dort rein(von der LiveCD aus). Danach Arch nach Wiki installieren und E. einbinden. Ist die Frage wie Du dann sda2(jetzt E) einbinden willst. Ich denke mal Deine Frau soll nicht durchs PW genervt werden.
von daher würde ich nen kleines File anlegen, wo erst cryptsetup luksOpen... danach mount .... drin steht und das ganze Script per Autostart in Gnome mit gksu oder KDE mit kdesu automatisch mounten. Brauchst dann bloß nachm einloggen, noch dein PW eingeben. Bei KDE must Du darauf achten, dass Du das Autostartteil auch in einer Konsole öffnest(Must ja nur den haken setzen wenn Dud en Befehl hinzufügst), sonst siehst Du die PW-Eingabe nicht, bei Gnome, weiß ich gerade nicht wie das geht.

Wenn Du E: erstmal fertig hast kannste das ja ignorieren, normal installieren und dann irgendwann einbinden, wenn Dein System steht. Ist jetzt für mich das Stressfreieste was mir einfällt.

Von Windows aus fällt mir kein Weg ein, wie Du die Daten in ein Linux-Crypto-Device bekommst, was ja auch nicht sein muss.
Kann man Arch nicht auch in ner VM unter Windows laufen lassen?
Oder:
http://www.freeotfe.org/
FreeOTFE allows dm-crypt and LUKS volumes to be mounted and used under MS Windows
@ Weltio

Man kann unter Windows auch Arch installieren in ner VM. Zumindest geht es mit Vmware Workstation 6.5 .

@ ChrisGT

Nee, von Windows nicht, ich hätte die Arch CD gestartet und es dann kopiert, wäre ja kein Problem da die D: Partition ja schon ext3 ist. Aber das mit der Live CD werde ich mal probieren.

Nur noch eine Frage, da ich bei dem Laptop ja nur eine Partition und nicht das ganze System verschlüssel.
Beim kopieren des Mapper-Devices ändert sich nix, oder?
Also: " cp -r /dev/mapper /mnt/root/dev/mapper"

Ich werde mal schauen. Ich hab hier noch ne Ubuntu Live CD dieich mal brauchte um an einige Systemdateien ranzukommen als Arch nicht mehr lief.

Danke für die Hilfe
Must Du ja nicht. Bei dem Befehl cryptsetup "luksOpen ... sonstiges" wird die Datei /dev/mapper/sonstiges angelegt, somit brauchst Du das nur nach der Installation bzw. auf der Live-CD mit Hand in der Konsole öffnen. Komischerweise legt es diese Datei bei mir beim abarbeiten von /etc/crypttab nicht an, sondern greift auf diese nur zurück, weswegen es diesen Schritt mit dem cp überhaupt nur bei mir gibt. Frag nicht warum, ich habe keine Ahnung :lol: Ich hatte bisher jedenfalls einige male Probleme, so dass ich bei nem komplett verschlüsselten System neu starten muste, die devices öfnnen und dann cp /dev/mapper machen muste, danach gings.
Als ich den Desktop nach Deiner Anleitung gemacht hatte, da hatte ich keine Probleme. Es lief alles bestens.

Das mit dem Laptop habe ich jetzt kapiert. CryptoDevice anlegen, dann Live CD starten, CryptoDevice einhängen und Daten rüber kopieren, dann Arch normal installieren und zum Schluß den Eintrag in die fstab.

Argh...alles kompliziert. Da fand ich die Möglichkeit im Installer von Debian klasse, dort konnte man das sehr bequem machen. Aber so lernt man dazu <idea3>

Besten Dank <2thumbsup>
Widar
@Widar

Swap ist auch aktiv? Bei mir zeigts so momentan nach dem Neustart nen Fehler bei Swap aktivieren an
Mhm jo - wie bekommt man eigentlich die UUID der swap, wenn sie durch dm-crypt beim Start verschlüsselt wurde? O.o
Irgendwie sagt luksDump nichts - blkid auch nicht 🙁
Gute Frage, das funktioniert bei mir auch nur mit den normalen Partitionen. Ich verwende eh lieber die normalen Device-Bezeichnungen
@ChrisGT
Swap habe ich nach dem englischen Wiki verschlüsselt, ohne Probleme.

@Weltio

Zuerst musst Du "blkid /dev/sda" ausführen, sda musst Du an die Partition anpassen wo Du deinen swap hast. Diese UUID trägst Du dann in die "crypttab" ein.
Dann musst Du noch "blkid /dev/mapper/swap" ausführen, diese UUID trägst Du dann nur noch in die "fstab" ein, das ist alles.
Update zum Wiki.

Wie verpsrochen setze ich mich gerade ans Wiki.

1. Das Swap-Problem ist gelöst, das Wiki zum verschlüsseln an sich ist nun vollständig. Ich habe es auch noch einmal getestet und es lief(mit Serpent) alles einwandfrei).

2. Zu der letzten Zeile cp /dev/mapper.... habe ich noch etwas genauer geschrieben, warum es diese Zeile bei mir überhaupt gibt

3. Die Links mit KLICK MICH wurden auf Wunsch ausgebessert.

Die Sache mit CHROOT gehe ich nun an. Mal sehen wie lange ich brauche.

Wer sonst noch Tips hat oder Vorschläge, dann her damit

NACHTRAG: Chroot ist auch fertig und wurde getestet.

Dann müste ich ja erstmal durch sein :lol:
Hey, Danke erstmal für Deine Arbeit.
Partitioniert ist meine Festplatte schon, wenn ich die Tage Zeit habe werde ich nach Deinem Wiki vorgehen 🙂
Ich habe in nem anderen Wiki folgende Aussage gefunden:

" ... bei XTS werden 512 Bit angegeben, da der XTS-Algorithmus zusätzliche 256 Bit für die Verknüpfung der Blöcke benötigt. "

Was ist denn da dran?
Es ist doch egal ob ich 256 Bit nehme oder 512 oder?
Das ist so meiner Ansicht nach schon ganz sicher. Ich sollte den Absatz im Wiki noch etwas besser ausdrücken.

In diesem Wiki von Ubuntu ist es ganz gut beschrieben:

http://wiki.ubuntuusers.de/LUKS

Sprich beides ist aus meiner Sicht ganz OK, das eine schneller, das andere noch etwas sicherer.

Wenn Ihr das wünscht ersetze ich auch das etwas schneller durch das etwas sicherer. Bisher habe ich jedenfalls nichts gefunden, was gegen diese 256 sprechen würde und deswegen benutze ich die. Festplatten verschlüsseln kostet schon genug speed
Ich hatte die Aussage hier gefunden:

http://wiki.ubuntuusers.de/Baustelle/System_verschl%C3%BCsseln

Ich habe auch 256 Bit genommen. Hatte den Beitrag nur eben dort gefunden als ich da wegen nem Programm geschaut habe.

Ahso, das mit der Live CD hat bestens funktioniert.
Crypto Device angelegt, dann Ubuntu Live CD gestartet, Crypto Device eingehangen, Daten rüberkopiert und dann Arch installiert. Zum Schluss noch in die fstab und die crypttab eingetragen uns alles war bestens.