kruemeltee schriebvielleicht hab ich hier ja auch durcheinander gebracht, dass truecrypt die "alte Bezeichnung" von cryptsetup wäre
Also nur mal zu Klarstellung:
- dmcrypt ist das Kernel-Modul zur Verschlüsselung von Block-Devices unter Linux
- LUKS ist ein Aufsatz auf dmcrypt mit zusätzlichen Funktionen für die Bequemlichkeit
- cryptsetup ist ein Programm, dass die Funktionen von LUKS für den Endnutzer bereitstellt
- truecrypt ist ein von all dem völlig unabhängiges Programm, dass auch zur Verschlüsselung dient
kruemeltee schrieb
Was den Sicherheits-aspekt mit "Keyfile auf unverschlüsseltem USB Stick" anbetrifft, geb ich Dir schon recht, allerdings hab ich mir hierbei gedacht, dass erstens das Keyfile nicht zwangsläufig irgend eine kryptische Datei sein muss, sondern ja auch gern nur der Header eines Bildes oder irgend einer wichtigen Datei, die man eben so auf seinem Stick herum tragen könnte. Ich könnte ja als Beispiel ein Passfoto nehmen und mittels dd nur die ersten 2048 Byte davon nehmen und hätte somit ein keyfile.
Okay, ja, du kannst das so machen. Aber nur der Hinweis: Kryptographisch gesehen ist das nicht sicher. Es gibt hier zwei Probleme:
1. Security by obscurity Funktioniert nicht zuverlässig. Spästens durch diesen Thread, oder auch wenn man dich bei der Entschlüsselung beobachtet, oder auch einfach durch Glück etc pp, kann man das knacken.
2. Eine echte Datei ist per se kein gutes Keyfile. Das Problem ist, dass die Daten in einer Datei ja nicht mehr zufällig sind. Zugeben unrealistisch aber nur mal als Beispiel: Angenommen, die ersten 2048 Bytes deiner Datei bestehen nur aus 0en — oder sonst einem regelmäßigen Muster. Dann hast du ein Problem.
Ich denke, realistisch gesehen macht das alles keinen Unterschied. Niemand wird je ne Kryptoanalyse auf dein Setup fahren. Trotzdem, falls jemand mal in Besitz deines Sticks kommt, und unbeaufsichtigt ist, kann er es entschlüsseln.
alles meines Erachtens nach besser als direkt auf dem PC, oder?
Kommt drauf an. Meine Keyfiles liegen auch auf meinem PC. Der ist allerdings vollverschlüsselt. D.h. jemand der Zugriff auf meinen PC hat, muss auch erstmal die Festplatte entschlüsseln, bevor er Zugriff auf das Keyfile hat. Ein Henne-Ei-Problem. Möglich wäre noch, dass ein Trojaner das Keyfile ausließt, aber der könnte eh auf alle Privaten Daten zugreifen, wenn meine Platten entschlüsselt sind.
kruemeltee schrieb
Mein Problem ist folgendes ... zum ersten habe ich meine Festplatten einzeln verschlüsselt, nicht das ganze System ... ich bin zwar noch am aufräumen, dass gewisse Daten nicht auf den unverschlüsselten Partitionen liegen, das ganze lag aber daran, dass ich hin und wieder mal meinen Rechner aus der Ferne per WOL booten muss und ich daher beim Boot-Vorgang nicht einfach ne Passphrase eintippeln kann (leider).
Hab für mein NAS das gleiche Problem und folgendermaßen gelöst:
Für gewöhnlich ist mein NAS im Standby-Modus. D.h. entschlüsselte Partitionen bleiben auch beim booten mit WOL entschlüsselt. Ansonsten ist bei meinem NAS die root-Partition nicht verschlüsselt. Damit bootet es durch bis der SSH-Deamon startet. Per SSH kann ich ein Script aufrufen, dass dann mit Passwort-Abfrage die Partitionen mit den privaten Daten entschlüsselt.
Die /-Partition nicht zu verschlüsseln ist zugegeben nicht sooo schön, aber ich glaube realistisch gesehen macht das keinen Unterschied.