Arch Linux

Verschlüsselung auf SSD

Knusperkeks

Hallo,

ich möchte mein Notebook (mit Samsung 830er SSD) gerne verschlüsseln und hätte da zu ein paar Punkten gerne euren Rat gehabt.

Primäres Angriffsszenario gegen das ich mich verteidigen möchte: Diebstahl des Gerätes.
- Vollverschlüsselung vs Verschlüsselung auf Dateisystemebene
Ich tentiere zu erstem, da ich so auch Informationen über den Inhalt wie Dateinamen etc. vermeiden kann und ich sicher sein kann, dass keine Daten in irgendeinem Cache landen. Andererseits wäre wäre die zweite Lösung wohl komfortabler: Backup, entschlüsseln bei Bedarf, automatisches Sperren bei Bildschirmsperre, etc...

Bei der einer Vollverschlüsselung stellt sich die Frage, LUKS oder nur dm-crypt?
- Ist ein LUKS-Header auf einer SSD eine gute Idee? - Stichwort: Sicheres Löschen?
- Trim ja/nein? - Mit ist klar, dass Trim verrät welche Bereiche mit Daten gefüllt sind und welche nicht, wie wirkt sich das auf die Verschlüsselung aus?
- Stichwort Wear leveling: Bei SSD gibts ja eine Faustregel, dass man ein paar Prozent unpartitioniert lassen soll, bei einer Vollverschlüsselung sollte ich dies dann unterlassen oder?

Soweit meine bisherigen Überlegungen. Falls jemand da Erfahrung und Ratschläge hat, her damit 🙂

Grüße

Smon

Primäres Angriffsszenario gegen das ich mich verteidigen möchte: Diebstahl des Gerätes.

Dagegen hilft leider keine Verschlüsselung 🙁

Ovion

Knusperkeks schrieb Bei der einer Vollverschlüsselung stellt sich die Frage, LUKS oder nur dm-crypt?

Äh, nö. LUKS ist der Standard, dm-crypt die Implementierung. Zumindest wenn ich's grad nicht völlig durcheinanderwerfe.

Knusperkeks schrieb- Ist ein LUKS-Header auf einer SSD eine gute Idee? - Stichwort: Sicheres Löschen?

Wie meinst du das?

Knusperkeks schrieb- Trim ja/nein? - Mit ist klar, dass Trim verrät welche Bereiche mit Daten gefüllt sind und welche nicht, wie wirkt sich das auf die Verschlüsselung aus?

Du verrätst, wo sich Daten befinden, die Sinn ergeben. Somit kann der Angreifer es lassen, den definitiv nur Müll ergebenden leeren Bereich mit in die Cryptoanalyse einfließen zu lassen.

Knusperkeks

Ovion schrieb Äh, nö. LUKS ist der Standard, dm-crypt die Implementierung. Zumindest wenn ich's grad nicht völlig durcheinanderwerfe.

Aso, ich dachte LUKS wäre eine Erweiterung von dm-crypt mit der Headergeschichte, sodass man mehrere Passwörter zum Entschlüsseln der Daten verwenden kann.
Ich jedenfalls meinte, ob Verschlüsselung mit oder ohne LUKS-Header.

Ovion schriebWie meinst du das?

Na ja, ein Vorteil von LUKS ist ja, dass meine Daten nicht direkt mit dem Passwort verschlüsselt werden, sondern nur der generierte Schlüssel. So könnte ich nicht nur mein Passwort ändern, sondern durch vernichten des Headers auch eine Entschlüsselung durch Kenntniss meines Passwortes verhindern. Dies setzt ja aber voraus, dass ich den Header geziehlt und sicher vernichte, was mich zu der Frage führt, ob ich durch Trim und Wear-Leveling denn geziehlt diesen Löschen kann, anstatt, dass die SSD den neuen nur auf eine andere Zelle klatscht.

Ovion schriebDu verrätst, wo sich Daten befinden, die Sinn ergeben. Somit kann der Angreifer es lassen, den definitiv nur Müll ergebenden leeren Bereich mit in die Cryptoanalyse einfließen zu lassen.

Ok, nur kann man eine Aussage darüber treffen, wie stark dies eine Cryptoanalyse beeinflusst?

nobody44

Knusperkeks schrieb Aso, ich dachte LUKS wäre eine Erweiterung von dm-crypt mit der Headergeschichte, sodass man mehrere Passwörter zum Entschlüsseln der Daten verwenden kann.
Ich jedenfalls meinte, ob Verschlüsselung mit oder ohne LUKS-Header.

Du willst wissen ob du LUKS oder einfache Verschlüsselung (unter cryptsetup heißt es "plain") verwenden sollst? Wenn du keine Gründe kennst, die gegen LUKS sprechen, dann solltest du LUKS verwenden.

Knusperkeks schrieb Na ja, ein Vorteil von LUKS ist ja, dass meine Daten nicht direkt mit dem Passwort verschlüsselt werden, sondern nur der generierte Schlüssel. So könnte ich nicht nur mein Passwort ändern, sondern durch vernichten des Headers auch eine Entschlüsselung durch Kenntniss meines Passwortes verhindern. Dies setzt ja aber voraus, dass ich den Header geziehlt und sicher vernichte, was mich zu der Frage führt, ob ich durch Trim und Wear-Leveling denn geziehlt diesen Löschen kann, anstatt, dass die SSD den neuen nur auf eine andere Zelle klatscht.

Bei einem sicheren Verschlüsselungsalgorithmus sollte es ohnehin nicht einfach sein den Schlüssel zu knacken. Ob du wirklich soweit gehen musst und den LUKS-Header vernichten musst, kann ich dir nicht beantworten. Ich glaube nicht, dass die SSD viel Spielraum hat, was sie wohin schreibt.

Um es kurz zu machen:

Wähle aes-xts-plain64 mit 512 Bit Schlüssel, SHA512 als Hash-Algorithmus und du bist auf der sicheren Seite. Ich selbst nutze LVM + LUKS (mit dem eben genannten Algorithmus + Schlüsselgröße) und bin zufrieden, muss aber natürlich gestehen dass ich nicht versucht habe es selbst zu knacken ;-). Habe nicht die Ressourcen der NSA zur Verfügung.

nik

Wie willst du denn den Header löschen, wenn das Endgerät gestohlen wurde?

Sonst weiß ich ja nicht, durch wen du einen Diebstahl erwartest, aber die meisten Täter haben es beim Diebstahl wohl eher auf das Endgerät abgesehen, weshalb eine kryptographische Analyse eher nicht in Frage kommt.

[gelöscht]

Knusperkeks schriebBei der einer Vollverschlüsselung stellt sich die Frage, LUKS oder nur dm-crypt?

Um mich nobody44 anzuschließen, hier ein Auszug aus der Manpage von cryptsetup(8):

PLAIN DM-CRYPT OR LUKS?
Unless you understand the cryptographic background well, use LUKS. With plain dm-crypt there
are a number of possible user errors that massively decrease security. While LUKS cannot fix
them all, it can lessen the impact for many of them.

Dementsprechend zeigt die Frage allein, dass man LUKS benutzen sollte. Was nicht heißt, dass es mich nicht interessieren würde, ob irgendjemand einen Anwendungsfall hat, der mit reinem dm-crypt besser gelöst wird als mit LUKS.

Valete.

Datenschutz
Impressum