Arch Linux

Wiki Festplatte verschlüsseln

ChrisGT

Ein Problem ist natürlich momentan noch die Menge an Informationen.

Infos zu AES, Twofish(eigentlich mein Liebling) und Konsorten gibts an jeder Ecke, zu XTS was zu finden ist noch gar nicht so leicht.

Benchmarkwerte mit 256 und 512 würden mich mal interessieren, aber um das zu testen habe ich schlicht keine Zeit.

Das mit dem Verknpfen der Blöcke ist schon richtig und deswegen haben dann beides auch nur 128 bit bei den angegebenen 256. Aber wie gesagt, selbst das ist heutzutage noch ausreichend sicher. Ich werde mich die Tage noch einmal ransetzen und das noch etwas deutlicher Formulieren, damit die Leute besser abwägen können. Soll ja Leute geben die ein noch ausgeprägteres Sicherheitsempfinden haben als ich :lol: Bei Versionsabhängigen Distries wo man eh öfter neuinstalliert tuts definitiv 256, bei Arch naja, muss man es selber wissen. Ich sag: 256 tuts och

NACHTRAG: Was ich gerade sehe: http://downloads.archlinux.de/iso/archboot/2009.04/

Da ist wohl auch Verschlüsseln direkt per setup-script möglich. Hab ich noch nich getestet. Müste ich dann wohl oder übel mit ins Wiki einbauen.

Widar

Zu XTS findet man wirklich so gut wie nix, hab auch nur das hier gefunden:

http://en.wikipedia.org/wiki/Disk_encryption_theory

und

http://www.truecrypt.org/docs/?s=modes-of-operation

Das mit dem archboot Image hatte ich heute früh gelesen, würde für mich aber z.B. nicht in Frage kommen da es kein offizielles Release ist.
Aber interessant scheints zu sein 🙂

ChrisGT

1. Habe nun doch die key-Size auf 512 als Standart gesetzt, da alle anderen Wikis auch 512 nutzen und in einem Hinweis deutlicher gemacht das 256 eigentlich im Normalfall ausreichen und man sich lieber Gedanken um das PW machen sollte.

2. Ein paar Fehler wurden beseitigt.

3. Ich habe das 04.2009 Image kurz angetestet. Also die Grundlagen bleiben gleich, ich muss nach der Veröffentlichung allerdings ein paar Kleinigkeiten anpassen, da einiges im Installer hinzugekommen ist. Die Möglichkeit im Setup zu verschlüsseln ist allerdings noch nicht ausgereift und es fehlen einige Auswahlmöglichkeiten, so dass Handarbeit weiterhin besser ist und es mein Wiki nicht ganz Sinnfrei macht :lol:

Widar

Mich würde ja noch interessieren was ich in die "crypttab" eintragen muss, damit er meine Partition gleich beim booten einbindet. Also das ich beim booten das Passwort eigeben kann.

"sowieso /dev/sda9 none luks,retry=3"

Klappt nicht :/

bort

Steht doch alles in der /etc/crypttab:

There are two special keywords that cannot be used as passphrases:
  - ASK  ask for a passphrase on boot
  - SWAP use a random key and create a swapspace afterwards

Probier einfach mal

sowieso /dev/sda9 ASK luks,retry=3

-bort

Widar

Habe ich versucht.

Es kommt aber die selbe Fehlermeldung beim booten:

Usage: cryptsetup.static

/sbin/cryptsetup.static Unknown action

ChrisGT

Kannst Du mal bitte Deine /etc/fstab und Deine /etc/crypttab hier reinstellen?

Widar

Na klaro,

hier die "fstab":

/dev/mapper/privat /privat ext3 defaults 0 0

hier die "crypttab":

privat /dev/sdb1 ASK luks,retry=3

Anstatt "ASK" hatte ich auch "none" versucht.
In der mkinitcpio.conf habe ich "encrypt" als HOOK gesetzt und nen neues Kernelimage erstellt.

Gruß
Widar

ChrisGT

Hast Du mal versucht, die Partition nach dem Start von Hand in der Konsole zu öffnen und zu mounten? Von hier aus sieht das nämlich ganz OK aus. Mit welchem Algorithmus ist die Platte verschlüsselt?

Widar

Klar, ist ja der einzigste Weg um an die Platte zu kommen.
Von Hand geht alles ohne Probleme. Nur beim booten mag er nicht so wie er soll.

Verschlüsselt habe ich mit Twofish:

cryptsetup -c twofish-xts-plain -y -s 512 luksFormat /dev/sdx

ChrisGT

Ich kann jetzt nicht wirklich einen Fehler entdecken. Das ASK muss definitiv gesetzt sein. Das einzige was zu Fehlern führen kann sind die Optionen, denn dieses luks,retry=3 habe ich noch nie getestet, da es bei mir immer ohne irgendwas funzt. Also eigentlich müste

privat /dev/sdb1 ASK

funktionieren. Ich ersetze ja immer einfach die Vorgaben in dieser Datei und entkommentiere die. Was mir gerade auffällt: In der /etc/fstab sind die Einträge mit Leerzeichen getrennt und in der /etc/crypttab sind überal Tabs dazwischen. Ich kann mir aber nicht vorstellen, dass das der Fehler ist. Naja schaden kann es nicht. Also füg einfach mal ein:

privat [Tabtase] /dev/sdb1 [Tabtaste] ASK

ein.

Nachtrag: Achso, fragt der beim Start erst das PW ab oder steht da gleich die Fehlermeldung?

Widar

Es war tatsächlich das luks,retry=3 , wenn ich das entferne dann funktionierts.
Ich hatte das so im Netz gefunden.

Beim Laptop ist mir ne Passphrase lieber als nen Keyfile.

Egal, jetzt funktionierts auch auf ihm beim booten. Danke 😃

ChrisGT

Dann ist ja OK. Werde ich dann demnächst noch ein kleinen Anhang schreiben.(konnte mir auch nicht Vorstellen das es die Tabstops sind, sind ja nicht viel mehr als mehrere Leerzeichen)

Wäre nett, wenn hier einige Leute mal das Wiki nach Fehlern durchsuchen, dann kann ich die Verantwortlichen wegen einer Veröffentlichung anhauen.

Upuaut

tja, bis jetzt hat alles gut geklappt.
Aber nun habe ich ein Problem:

Wichtig ist jetzt wieder der nächste Punkt "Configure System", bei dem unbedingt die Frage "Do you need support for booting from encrypted volumes?" mit YES beantwortet.

Wenn ich auf Configure System gehe kann ich nur wie immer die fstab oder locale.gen oder oder bearbeiten.
Aber gefragt werde ich nichts??
Werde ich automatisch gefragt oder muss ich etwas auswählen????

Leider kann ich jetzt alles nochmal machen da ich weg muss........na toll.....

Danke schon mal für Eure Hilfe.

Upuaut

So, hab nochmal / home root und boot gemountet.
Werde auch schön nach meinem Passwort gefragt. Alle Änderungen sind auch noch da (z.B. rc.conf), aber wenn ich auf "Configure System" gehe werde ich nix gefragt.

Zur Installation nutze ich die archlinux-2009.02-core-x86_64.iso.

Wäre für jeden Tipp dankbar 😢
Oder kann ich das auch irgendwie manuell einstellen (da ich ja nicht gefragt werde)?

Upuaut

tja, hab jetzt einfach "encrypt" in die Hooks gesetzt.
Aber leider startet Linux nicht "cannot mount selected partition".

sda2 = boot
sda5 = /

Upuaut

ok, mein Problem hat sich erledigt.
Ich hatte einen Dreher in der /boot/grub/menu.lst <wall>

Aber eines bleibt noch. Obwohl ich folgendes in die grub/menu.lst eingetragen habe

kernel /boot/vmlinuz26 lang=de locale=de_DE.UTF-8 root=/dev/sda1 ro

habe ich keine deutsche Tastatur. Das ist leider bei meinem Kennwort echt doof.

Weiss jemand Rat?

ChrisGT

Dieses

lang=de locale=de_DE.UTF-8

sollte eigentlich gar nicht nötig sein(Ich habe es zumindest nicht drin). Wenn Du alles so gemacht hast wie im Wiki ist bei mir das Layout auch bei der PW-Abfrage auf Deutsch. Hast Du mit km nach dem Start der InstallCD auch das richtige Layout gesetzt, damit das PW auch in Deutsch erstellt wird?
In Grub ist das layout leider eh immer englisch, aber bei mir wurde bei ALLEN Tests(Virtualbox und auch auf dem richtigen Rechner) dann die das PW mit deutschem Layout abgefragt(wäre sonst auch bei meinem PW schwierig, da Sonderzeichen drinn sind)

Alle Änderungen sind auch noch da (z.B. rc.conf), aber wenn ich auf "Configure System" gehe werde ich nix gefragt.

Puh das kann ich von hier aus jetzt schlecht beurteilen. Bei mir kommt diese Abfrage sogar zweimal(soweit ich mich erinnern kann). Einmal wenn ich auf Configure System gehe und irgendwo noch einmal. Ille Test habe ich hier mit der x86 Version gemacht. Ich glaube nicht das da ein großer Unterschied ist zur x86-64

Upuaut

ChrisGT schrieb Hast Du mit km nach dem Start der InstallCD auch das richtige Layout gesetzt, damit das PW auch in Deutsch erstellt wird?

Ja.

ChrisGT schrieb In Grub ist das layout leider eh immer englisch, aber bei mir wurde bei ALLEN Tests(Virtualbox und auch auf dem richtigen Rechner) dann die das PW mit deutschem Layout abgefragt(wäre sonst auch bei meinem PW schwierig, da Sonderzeichen drinn sind)

Also als mich mir mein PW von der amerikanischen Tastatur zusammengesucht habe gings. Bedeutet für mich, dass PW ist in deutsch die Abfrage verwendet aber die amerikanische Tastatur.
Da es aber nur eine Taste betrifft, konnte ich mir mein PW trotzdem gut merken 😉

Aber wo wir gerade dabei sind. Kann ich das PW von / eigentlich ändern ohne neu formatieren zu müssen?

ChrisGT schrieb
Alle Änderungen sind auch noch da (z.B. rc.conf), aber wenn ich auf "Configure System" gehe werde ich nix gefragt.

Puh das kann ich von hier aus jetzt schlecht beurteilen. Bei mir kommt diese Abfrage sogar zweimal(soweit ich mich erinnern kann). Einmal wenn ich auf Configure System gehe und irgendwo noch einmal. Ille Test habe ich hier mit der x86 Version gemacht. Ich glaube nicht das da ein großer Unterschied ist zur x86-64

Als ich verwende ja x86-64. Und bei mir kam diese Frage nicht.
Da ich nicht genau wusste wo das Problem lag (und mein Linux durch meinen Grub Fehler nicht starten wollte), habe ich in der mkinitcpio folgendes eingetragen:

MODULES="dm-crypt xts aes-x86-64"
HOOKS="......encrypt....."

Auf jeden Fall läuft es nun.
Danke für die gute Anleitung!

Dirk

Upuaut schrieb Kann ich das PW von / eigentlich ändern ohne neu formatieren zu müssen?

Ja, kannst du 😉

Als Root:

cryptsetup luksAddKey /dev/sda1

Wobei du /dev/sda1 natürlich durch die Partition ersetzen musst, die dein / ist. Damit erzeugst du ein zweites Passwort in „Slot 1“ (luks kann bis zu acht Passwörter für eine Verschlüsselte Partition verwalten). Wenn das geklappt hat (UNBEDINGT TESTEN!!) kannst du das Passwort aus „Slot 0“ löschen.

cryptsetup luksDelKey /dev/sda1 0

Wobei du auch hier wieder /dev/sda1 ersetzen musst 😉

VORSICHT: Wenn du alles Passwort-Slots leer machst, kommst du nie wieder an deine Daten ran, weil du die Platte nicht entschlüsseln, und auch kein neues Passwort setzen kannst! Du wirst aber gewarnt, wenn du das machen willst.

« Vorherige Seite Nächste Seite »