Hi
Da der neue Kernel ja nun Standartmäßig die Cryptoverschlüsslung hat, würde ich die auf meinem Server gerne nutzen. Also hab ich mir den Kernel kompiliert mir cryptoloop fest im Kernel und die Verschlüsslungsarten als Modul. Die Module hab ich geladen. Nun möchte ich mit losetup -e AES /dev/loop /dev/md0 die Versclüsslung auf dem Raid0 device aktivieren. Leider bekomme ich folgende meldung:
Unsupported encryption type AES
Wenn ich ein cat /proc/crypto mache steht dort auch AES zur verfügung. Wieso sagt dann losetup das er es nicht kennt? Wäre dankbar für jede hilfe.

PS: Benutze Debian Woody 3.0r2

ganz einfach probiere mal statt AES aes-256 das hilft eventuell.

http://www.ece.cmu.edu/~rholzer/cryptoloop_mini_howto.html
das hier is auch nicht schlecht


cya lj

Vielen Dank, hat mich um einiges weitergebracht!
Musste nur die neuen Util-Linux installieren (2.12).
Nur Leider bekomm ich nun die Meldung

blk_queue_max_segment_size: set to minimum 4096
ioctl: LOOP_SET_STATUS: Invalid argument

Kann damit jemand was anfangen?

Hi!
Hab nun ne Lösung:
musste statt aes-256 einfach nur aes angeben.
ABER:
Mit wieviel bit ist das ganze nun verschlüsselt? Wenn ich ein cat/proc/cryto mach sagt er mit
max keysize : 32
Bedeutet das jetzt das ich nur mit 32bit verschlüsseln kann?
Wenn ja, was ist da falsch gelaufen?

Kleine Rechenübung.

Wir haben einen key der 32 character lang ist.
Jeder character hat 8bits, da es ja bytes sind.

32 * 8 = 256

Damit ist bewiesen: Es sind 256bits. :D

Greetz...

Achso! Das bedeutet das 256bit standart sind? Was ist jetzt wenn ich 128bit möchte?

Mich würde auch gerne mal interessieren, ob es nun 128bit oder 256bit verschlüsselung sind, denn es steht ja da:
# cat /proc/crypto
name : aes
module : aes
type : cipher
blocksize : 16
min keysize : 16
max keysize : 32

woher weiß ich jetzt, was er genommen hat?
Bitte um aufklärung.

Danke schonmal

Gruß Daniel

Hi,

also wie man es nachträglich herausfindet weis ich auch noch nicht (habe gerade angefangen mit Partitionsverschlüsselung herum zu spielen).

Aber bei dem Befehl losetup gibt es eine Option -k bei der man imho die Bitanzahl angeben kann.

Ich hätte da noch eine Frage an DR.Chris bzw. Debian-User:
Ich benutze auch Debian 3 stable und habe die util-linux Version 2.11irgendwas installiert. Hast Du dein Debian auf "testing" upgegraded? Denn soviel ich sehen kann gibts die 2.12er Version nur im Debian-testing. Dazu muss man dann aber auch noch andere Pakete z.B glibc updaten und davor muss ich ehrlich gestehen habe ich ein wenig.....bammel da ich nur ungern am Herzen der C-Libraries operiere...

Achja, benutze Kernel 2.6.2 ...

Gruß,
Werner

Danke für deine Antwort!
Nein, ich habe kein Upgrade gemacht, ist immer noch ein Woody - also stable. Hm, ich weiß nicht mehr sicher wo ich des her hab, aber ich meine ich hab es bei google gefunden, oder auf ner mirror site. Könnte aber evtl. auch www.apt-get.org gewesen sein.

Hi!

Habe auch gerade angefangen mit verschluesselten Datein rumzuspielen.

Da ich mit folgendem Befehl eine verschluesselte Datei anlegen kann:

losetup -k 256 -e aes /dev/loop0 mySafe

Gehe ich mal davon aus, dass diese dann 256 bit hat. Wie es ohne die extra Angabe aussieht weiss ich nicht. Ich bin ganz froh, einfach die Debianpackete util-linux nehmen zu koennen ohne da grossartig dran rum zu patchen. Wuerde mich aber doch interessieren, ob es eine moeglichkeit gibt noch hoehere Verschluesselung einzustellen.

Habe auch festgestellt, dass es besonders beim mounten durchaus auf die Reihenfolge mancher Parameter ankommt, man Absolute Pfade braucht und nicht unbedingt die mount befehle aus dem crypto howto uebernehmen kann.
Bei mir funktioniert es nur so:

mount -t ext3 -oencryption=aes /mySafe /mountpoint

Beim erneuten mounten muss man anscheinend nicht nochmal angeben, mit wieviel bit es verschluesselt wird.

Hab noch in einem Howto zu loop-aes gelesen, dass evtl auf der swap bzw. in temporaeren Datein sich dann noch Klartext, der Verschluesselten Datein finden koennen. Wie sicherheitsrelevant ist das, kann man den Swap so einstellen, dass er ihn in Zeiten der Lange weile random ueberschreibt, oder dass er zumindest bei einem neuen Swapzugriff auf einen bis dahin lang nicht mehr zugegriffenen teil zugreift anstatt immer auf den Anfang und ihn so moeglichst komplett benutzt und somit ueberschreibt?
Hoert sich jetzt bloed an. Ich meine natuerlich nicht, dass ich mir gesteigerten Swap zugriff wuensche. Habe hier auch keine sonst wie wichtigen Datein. Waere da nur neugierig, wenn mir den Sachverhalt, wo die Daten noch ungeschuetzt rumliegen mal jemand verstaendlich erklaern koennte.

Wenn ich den kernel konfiguriere, sagt er mir, dass cryptoloop nicht sicher fuer journaled filesystems wie ext3 ist. In der crypto howto werden aber auch diese verwendet und ein journal finde ich schon recht praktisch.

Dort steht, man solle den Device Mapper Crytpo Module nehmen.
Solch eine Option habe ich nicht im Kernel gefunden.

Wie ist das jetzt mir journal, vertraegt sich das? Was ist dieser DeviceMapper?

Auf ein bissel mehr Durchblick hoffend

Hotspott

Hi!

mount -t ext3 -oencryption=aes /mySafe /mountpoint



Ach ja, wie schon geschrieben, kann ich es als root mit genau den obigen parametern mounten, Reihenfolge muss ich auch beachten.

Wie bring ich das jetzt in die fstab, so dass es auch der User mounten kann?? So funktioniert es schonmal nicht:



/home/matrix/sync/mySafe /home/matrix/sync/safety ext3
user,noauto,encryption=aes 0 0


Ist in der Datei natuerlich eine Zeile.

Gruss

HotSpott

EDIT:

Das Cryptoloop Howto ist jetzt auf TLDP zu finden:

http://tldp.org/HOWTO/Cryptoloop-HOWTO/index.html

mfg
cane

EDIT:

Das Cryptoloop Howto ist jetzt auf TLDP zu finden:

http://tldp.org/HOWTO/Cryptoloop-HOWTO/index.html

mfg
cane


Das hatte ich schon aufgestoebert. Daraus werde ich aber leider immer noch nicht schlau, wie ich das mounten der Crypto-Datei in die Fstab bekomme und z.b. der Parameter aes-256 ist bei mir unbekannt. Ich kann nur -e aes -k 256 nehmen. Sprich es bleiben noch fragen offen.

Das hatte ich schon aufgestoebert.

Ich habe ja auch nur den Pfad zum HowTo korregiert. :)

cane

namt

ich habe auch ein problem mit der fehlermeldung
ioctl: LOOP_SET_STATUS: Invalid argument

hab bisher folgendes gemacht

dd if=/dev/urandom of=./ale-x bs=1024k count=1024
losetup -e AES256 /dev/loop2 /dev/ale-x

hab auch versucht
losetup -e AES /dev/loop2 /dev/ale-x
losetup -e aes-256 /dev/loop2 /dev/ale-x

aber die meldung kommt immer wieder nachdem ich ein 20 stelliges pw eingegeben habe


util-linux hab ich installiert
ansonsten weiss ich nich wirklich weiter
kann mir noch jemand nen tip geben ????

mein OS. PCLinuxOS 2.6.15-oci4.lve

noch ne andere frage nebenbei, hab das os mal von einer live cd installiert , kann mein kernel neu konpilieren weil make menuconfig funzt nich ???

Schau dir mal das AES Howto von DaGrrr an :
http://www.linuxforen.de/forums/showthread.php?t=189386

Greeez Oli

beitrag bitte löschen, problem gelöst

beitrag bitte löschen, problem gelöst
Sehr Informativ für die Nachwelt !