Hallo Leute,

ich habe mal eine eher allgemeine, aber für mich schon wichtige frage zu verschlüsselten Partitionen/Dateien (sollte im Endeffekt ja egal sein).

Ich habe mich nun endlich mal entschlossen, eine Partiton mit für mich wichtigen Daten zu verschlüsseln. Da die Partition auf meinem Server liegen soll und der noch mit Kernel 2.4.26 (derzeit) läuft, will ich die Verschlüsselung erstmal mit dem 2.4er Kernel einrichten. Perspektivisch steht dann natuerlich irgendwann ein Umstieg auf Kernel 2.6 an. Wann das genau sein wird ist noch nicht klar, aber derzeit läuft die Kiste mit dem 2.4er ausreihend gut und die Notwendigkeit des Umstieges ist noch nicht gegeben.

Wenn ich mich dann doch entschliesse auf einen Kernel der 2.6er Serie upzugraden, mit welchen Problemen habe ich beim Umstieg zu rechnen (Jetzt nur bezueglich der verschlüsselten Partition)?

Kann ich mit Kernel 2.4.x eingerichtete verschlüsselte Partitionen problemlos mit dem 2.6er Kernel mounten, oder laufe ich da in Probleme. Geht das überhaupt? Irgendwie sind die Cryptomodule ja schon ein bisschen bewegliche Ziele, oder?

Hatte schon mal jemand dieses "Problem" und konnte er es lösen?

Für diesbezuegliche Tips waere ich sehr dankbar.

(Meine Recherche hier im Forum hat mir da leider nicht weitergeholfen)

Viele Gruesse

Smiler

Ich kann dir http://loop-aes.sourceforge.net/ als cryptomodul empfehlen. Habs sowohl unter 2.4 als auch 2.6 im Einsatz. Man muss lediglich nach readme verfahren :-)

Hi,

danke fuer Dein reply


Ich kann dir http://loop-aes.sourceforge.net/ als cryptomodul empfehlen. Habs sowohl unter 2.4 als auch 2.6 im Einsatz. Man muss lediglich nach readme verfahren :-)

und ich kann dann problemlos den Kernel updaten?
Entschuldige, dass ich so dumm frage, aber ich werde im Fall der Faelle bestimmt keine festplatte breit haben, um mehrere Gigabyte einfach mal auf eine unverschlüsselte Partition umzukopieren, wenn die Verschlusselungsmethode doch irgendwie anders funktioniert.

Auf der webseite steht da leider nichts dazu. Das kann ja heissen, dass es einfach so funktioniert und sich keiner Gedanken darueber machen braucht, oder dass es so abwegig ist, dass es sowieso keiner machen woellte...

Wie gesagt, ich bin etwas unsicher

Trotzdem danke erstmal

Gruss

Smiler

Hallo,

als ich meine AES partitionen eingerichtet habe, habe ich irgendwo gelesen, dass die "Container" nicht kompatibel zu allen Kernel-Versionen sind, sprich: AFAIR kannst du eine mit dem 2.4er verschlüsselte nicht mit dem 2.6er mounten. Es soll sogar inkompatibilitäten in der 2.4er Reihe geben.
Quelle müsste ich nochmal schaun.

Gruss Robert

Hi Robert,

danke fuer Deinen Beitrag.
Das klingt ja gar nicht gut :(

Ich bin halt auch schon am googlen, aber so was richtig definitives habe ich leider noch nicht gefunden.

Wenn irgendjemand dazu eine konkrete Aussage machen kann, bitte hier posten,
Danke

Gruesse

Smiler

und ich kann dann problemlos den Kernel updaten?

Wenn du zum verschlüsseln der Partition/Datei loopaes genutzt hast ohne Probleme.


Entschuldige, dass ich so dumm frage, aber ich werde im Fall der Faelle bestimmt keine festplatte breit haben, um mehrere Gigabyte einfach mal auf eine unverschlüsselte Partition umzukopieren, wenn die Verschlusselungsmethode doch irgendwie anders funktioniert.

Ein Backup sollte man vorher auf jeden Fall machen.


Auf der webseite steht da leider nichts dazu. Das kann ja heissen, dass es einfach so funktioniert und sich keiner Gedanken darueber machen braucht, oder dass es so abwegig ist, dass es sowieso keiner machen woellte...

Welche Webseite? In der http://loop-aes.sourceforge.net/loop-AES.README steht dazu:
This package does *not* modify your kernel in any way, so you are free to
use kernels of your choice, with or without cool patches. This package works
with all past, present, and future 2.2 and 2.0 kernels, and with recent 2.4
kernels (2.4.7 or later). 2.6.x kernels are also supported, but due to
ongoing kernel interface changes, loop module may fail to compile or may
operate incorrectly on 2.6.x kernels.

Trotz der interessanten Formulierung bezüglich des 2.6 Kernel, konnt ich bis dato noch keine Probleme mit dem 2.6.5 und dem loopaes-Modul feststellen ;)


als ich meine AES partitionen eingerichtet habe, habe ich irgendwo gelesen, dass die "Container" nicht kompatibel zu allen Kernel-Versionen sind, sprich: AFAIR kannst du eine mit dem 2.4er verschlüsselte nicht mit dem 2.6er mounten. Es soll sogar inkompatibilitäten in der 2.4er Reihe geben.
Quelle müsste ich nochmal schaun.

Gruss Robert

Dies mag mit dem cryptopacket von kerneli.org der Fall sein. LoopAes jedoch wird lediglich als Modul eingebunden und sowohl verschlüsselte Partionen wie auch verschlüsselte Dateien lassen sich beliebig zwischen einem System mit 2.4 und einem mit 2.6 Kernel austauschen. Hab das selbst ausgetestet :-)

Hi dipesh,
Auch Dir danke fuer den Beitrag.



Trotz der interessanten Formulierung bezüglich des 2.6 Kernel, konnt ich bis dato noch keine Probleme mit dem 2.6.5 und dem loopaes-Modul feststellen ;)


Das macht mir Mut.
(Die Unklarheit der Formulierung hat mich halt auch zum Erstellen des Beitrages hier gebracht)


Dies mag mit dem cryptopacket von kerneli.org der Fall sein. LoopAes jedoch wird lediglich als Modul eingebunden und sowohl verschlüsselte Partionen wie auch verschlüsselte Dateien lassen sich beliebig zwischen einem System mit 2.4 und einem mit 2.6 Kernel austauschen. Hab das selbst ausgetestet :-)

Und das macht mir erst recht Mut.
Bin jetzt am konkreten Umsetzen meines Verschluesselungsvorhabens (erst mal mit nem 2.4er Kernel) und hoffe, das alles gut geht.

Danke fuer alle Beiträge.

Beste Grüsse und noch einen schönen Sonntag

Smiler

Hallo Leute,

ich habe mal eine eher allgemeine, aber für mich schon wichtige frage zu verschlüsselten Partitionen/Dateien (sollte im Endeffekt ja egal sein).

Ich habe mich nun endlich mal entschlossen, eine Partiton mit für mich wichtigen Daten zu verschlüsseln. Da die Partition auf meinem Server liegen soll und der noch mit Kernel 2.4.26 (derzeit) läuft, will ich die Verschlüsselung erstmal mit dem 2.4er Kernel einrichten. Perspektivisch steht dann natuerlich irgendwann ein Umstieg auf Kernel 2.6 an. Wann das genau sein wird ist noch nicht klar, aber derzeit läuft die Kiste mit dem 2.4er ausreihend gut und die Notwendigkeit des Umstieges ist noch nicht gegeben.

Wenn ich mich dann doch entschliesse auf einen Kernel der 2.6er Serie upzugraden, mit welchen Problemen habe ich beim Umstieg zu rechnen (Jetzt nur bezueglich der verschlüsselten Partition)?

Kann ich mit Kernel 2.4.x eingerichtete verschlüsselte Partitionen problemlos mit dem 2.6er Kernel mounten, oder laufe ich da in Probleme. Geht das überhaupt? Irgendwie sind die Cryptomodule ja schon ein bisschen bewegliche Ziele, oder?

Hatte schon mal jemand dieses "Problem" und konnte er es lösen?

Für diesbezuegliche Tips waere ich sehr dankbar.


Nimmt am besten diesen Cryptoloop Patch: http://www.kernel.org/pub/linux/kernel/crypto/v2.4/testing/patch-cryptoloop-jari-2.4.22.0

Er ist voll kompatibel zu dem Cryptoloop System des 2.6er Kernels.
Eventuell mußt du aber das utli-linux Paket updaten damit losetup korrekt funktioniert.

Den Patch dafür findest du hier: http://www.paranoiacs.org/~sluskyb/hacks/util-linux/losetup-combined.patch

Hallo zusammen,

Zunächst @Smiler: Auch ich nutze die loopAES Kernel Module von Sourceforge und konnte problemlos vom 2.4er Kernel auf den 2.6er Kernel umsteigen... Sollte also kein Problem sein.

Was mich allerdings schon seit geraumer Zeit beschäftigt ist dieser (http://www.heise.de/security/news/meldung/45085) Artikel von Heise Security, indem erwähnt wird, dass CryptoLoop einige Schwachstellen aufweist und deshalb auch wieder aus dem Kernel fliegen soll.
Statt Cryptoloop soll in Zukunft ein "Device Mapper" eingestzt werden...

Hat jemand damit schon irgendwelche Erfahrungen gemacht ? Würde mich ja mal interessieren...

Nochmal @Smiler: Wenn du erst jetzt mit der Verschlüsselung beginnst, wäre es doch evtl. eine Überlegung wert, gleich mit der neuen Variante zu beginnen...

Gruß,
Utidi

[...] CryptoLoop einige Schwachstellen [...]

Jari Ruusu, Entwickler von LoopAes formuliert das sogar etwas direkter (http://lwn.net/Articles/66288/):

If you want your data secure, you need to re-encrypt your data anyway. Mainline loop crypto implementation has exploitable vulnerability that is equivalent to back door. Kerneli.org folks have always shipped back-doored loop crypto, and now mainline folks are shipping back-doored loop crypto. Kerneli.org derivatives such as Debian, SuSE, and others are also back-doored.