PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : diverses zu verschlüsselten festplatten



amun
11.04.04, 14:49
hallo zusammen,
ich möchte meine festplatte verschlüsseln und habe einige fragen zum thema:

1. es sollen private programmdaten wie "/home/username/Mail" und private dokumente, die sich alle unterhalb von "/home/username" befinden, geschützt werden. reicht es nur die "/home"-parition zu verschlüsseln oder sollte man möglichst alles verschlüsseln? kmail macht mir z.b. sorgen, weil es die datei, in der es mein e-mail-passwort speichert, nicht in "/home/username/mail" ablegt. kann ich mich darauf verlassen, dass browser, chat- und emailprogramme private daten auch wirklich nur in "/home" gespeichern?

2. ich möchte mit loop-aes (link) (http://www.pl-berichte.de/t_system/loop-aes.html) erschlüsseln. wie groß darf die verschlüsselte partition sein? ich dachte an 30 GB. kann ich probleme kriegen wenn ich die partition mit einer anderen distribution bzw. anderem kernel entschlüsseln will?

3. das mandrake-tool harddrake bietet die möglichkeit partition zu verschlüsseln. leider habe ich keine angaben über den algorithmus oder ähnliches gefunden. weiss jemand ob man der sache trauen kann?

4. hab hier in einem anderen thread gelesen, dass der neue kernel dateisystemverschlüsselungen ohne zusätzliche software kann. ist das das gleiche verfahren wie in 2.?

peschmae
12.04.04, 12:09
1. Ja. Die Dateien werden ausschliesslich in /home/.programmname (oder /home/.gconf /home/.kde) gespeichert. Einerseits gehört sich das so, andererseits hat z.B. kmail gar nicht ausreichende Rechte um die irgendwo sonst zu speichern (mal abgesehen von /tmp :ugly: )
/home verschlüsseln reicht - und wenns auch sicher sein soll auch noch die Swap-Partition - auf die können ja auch irgendwelche Daten aus dem Ram gelegt werden.

2. Ich hatte mit Cryptoloop mal "stunk" als ich nen neuen Kernel hatte. Aber ich hab das eh nie ernsthaft benutzt - nur zum wissen wies geht und sehen dass es geht. Wies mit loop-aes ist weiss ich allerdings nicht.

3. Ich glaube mal irgendwo gelesen zu haben dass cryptoloop verwendet wird. Möglicherweise irre ich mich auch. Cryptoloop ist sicher nicht schlecht (ist mittlerweile auch im Kernel 2.6 drinne) allerdings will Andrew Morton (Kernelmaintaina) das möglichst bald wieder raushaben, weil es irgendwie Sicherheitsprobleme ist bzw. das ganze nicht 100%-ig sicher ist und die Hacks am Loopback-Treiber recht hässlich sind oder so. Ein Ersatz für Cryptoloop ist auf jeden Fall schon im tun (ich weiss geade nicht wie der heisst, und der ist wohl auch noch nicht wirklich gut getestet, wie es sich für anständige Kryptographieimplemntierungen gehört)

4. Der neue Kernel ist 2. - 2.6 also das gleiche verfahren wie in 2. (konkret 2.6) wird er sicher vernwenden.
Cryptoloop ist dabei. Ob du allerdings verschlüsselte Partitionen sharen - d.h. mit 2.4er (gepatcht) und 2.6er Kerneln darauf zugreifen kannst weiss ich nicht.

MfG Peschmä

-hanky-
12.04.04, 20:33
Hi,

zu 1. : Ich würde das komplette /home verschlüsseln, eben wegen der Konfigurationsdateien in diesem Ordner.

zu 2 : ich selbst habe eine 90 GB-Partition mit loop-aes verschlüsselt und keine Probleme. Mit dem Entschlüsseln etc. solltest du eigentlich auch keine Probleme haben, ich habe seitdem ich loop-aes einsetze zwischenzeitlich mehrfach einen neuen Kernel gebaut bzw. geupdatet und hatte nie Probleme damit.

Damit und mit peschmaes Antwort sollte dann ja eigentlich alles beantwortet sein :)

-hanky-

amun
15.04.04, 22:50
danke euch beiden! keine frage mehr offen :)



1. Ja. Die Dateien werden ausschliesslich in /home/.programmname (oder /home/.gconf /home/.kde) gespeichert. Einerseits gehört sich das so, andererseits hat z.B. kmail gar nicht ausreichende Rechte um die irgendwo sonst zu speichern (mal abgesehen von /tmp :ugly: )

ja, in der regel sollte das so sein, habe mit mldonkey aber schon andere erfahrungen gemacht.
habe ein paket mitinstalliert, dass den donkey direkt beim booten startet. leider passierte das mit root-rechten, so dass unabhängig davon welcher benutzer sich eingeloggt und mldonkey benutzt hat alles unterhalbs von /root gespeichert wurden

Dellerium
16.04.04, 15:54
danke euch beiden! keine frage mehr offen :)




ja, in der regel sollte das so sein, habe mit mldonkey aber schon andere erfahrungen gemacht.
habe ein paket mitinstalliert, dass den donkey direkt beim booten startet. leider passierte das mit root-rechten, so dass unabhängig davon welcher benutzer sich eingeloggt und mldonkey benutzt hat alles unterhalbs von /root gespeichert wurden

Wenn wir schon einmal so einen - Verschlüsselung "diverses" Thread haben :), dann nutze ich den auch gleich mal ... wie hoch ist bei euch die Auslastung, wenn ihr Datenei auf die Platte schreibt ?? Ich hab jetzt nen AMD63 mit 3,2 Ghz ( pseudo ) und erreiche bei einem Transfer von einer auf die anderen Platte ( beide verschlüsselt ) knapp 23 MB/sec .. recht flott .. leider ist dabei die Auslastung der CPU auf 100 % ... ich hab mal gelesen, das es für Pentiums nen Assemlber Modul für Loop AES geben soll ... damit sollte die Auslastung sehr gering sein ... kennt ihr ne Möglichkeit die Auslastung zu verringern ? ( ohne die Platten wieder unverschlüsselt zu benutzen ... )

peschmae
16.04.04, 18:24
ja, in der regel sollte das so sein, habe mit mldonkey aber schon andere erfahrungen gemacht.
habe ein paket mitinstalliert, dass den donkey direkt beim booten startet. leider passierte das mit root-rechten, so dass unabhängig davon welcher benutzer sich eingeloggt und mldonkey benutzt hat alles unterhalbs von /root gespeichert wurden

Ja. Aber wer benutzt schon so n programm :rolleyes:
Ist ja klar dass, wenn du den Server nicht selber startest, der seine Daten wohl auch nicht in dein Homeverzeichnis legt ;)

@Dellerium: Keine Ahnung, hab das eigentlich nie für alles benutzt - nur eine Zeit lang für n paar Sachen, aber das Laufwerk war recht klein und die Dateien drauf auch.

MfG Peschmä

taylor
16.04.04, 18:43
wie hoch ist bei euch die Auslastung, wenn ihr Datenei auf die Platte schreibt ??
Ich hab dazu mal ein wenig getestet:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=60682&

king_of_R&R
18.04.04, 13:12
das probier ich nachher mal aus :D

Gruß

king_of_R&R