Hallo zusammen,

gibt es eine Möglichkeit eine gesamte HD zu verschlüsseln auf der Windows XP und Linux (debian) installiert ist? Man muss nicht unbedingt auf Windows-Files aus Linux zugreifen können, da ich M$ nur sehr selten brauche.

Danke schonmal.

Als Hardware-Lösung gibt es sowas, aber mit reiner Software siehts schlecht aus, da die ganzen Verfahren unter Windows bzw. Linux nicht platformübergreifend funktionieren.

könnte man denn eventuell nur die windows partition verschlüsseln (mache das bisher an einem anderen rechner mit drivecrypt) und linux unverschlüsselt installieren?

Das würde wohl gehen, aber du kannst dann eben nicht vom einen Betriebssystem auf die Partition(en) des anderen zugreifen.

das wäre nicht so schlimm! also würde es funktionieren wenn ich meine hd partitioniere mit drivecrypt die windoof partition verschlüssle und dann auf die andere linux installiere? aber würde das nicht probleme mit dem mbr machen, da drivecrypt sich da reinschreibt, damit man am anfang das password eingeben kann?

Hallo,


Als Hardware-Lösung gibt es sowas, aber mit reiner Software siehts schlecht aus, da die ganzen Verfahren unter Windows bzw. Linux nicht platformübergreifend funktionieren.
Das würde ich jetzt mal als FALSCH bezeichnen ;)

Schau dir das einmal an: CompuSec (http://www.ce-infosys.com.sg/CeiNews_FreeCompuSec.asp). Habe das Programm eine Zeit lang verwendet - damals gab es allerdings noch keine Linux Unterstützung (die es mittlerweile wohl gibt).

Ansonsten kann ich nur vorschlagen, das Betriebssystem Windows auf eine unverschlüsselte Partition zu installieren. Und Nutzdaten dann auf eine andere. Wenn du z.B. mit loopAES (unter linux) verschlüsselst, solltest du die Partition unter Windows mit CrossCrypt lesen können.

Meine Erfahrungen mit beiden Varianten sind nicht mehr auf dem neuesten Stand, da ich mittlerweile den kompletten Sprung zu Linux geschafft habe :)

Ich hoffe, das bringt dich weiter,
- Eierhahn

Mit diesem Thema werde ich mich auch noch beschäftigen...

Wenn irgendjemand von euch die genannte oder andere Software testet würde ich mich freuen wenn ihr eure Erfahrungen postet!

Ich denke das Thema interessiert auch andere - kann mich dunkel an ähnliche Topics in grauer Vergangenheit erinnern ;)

mfg
cane

Hallo,

habe eben crosscrypt getestet, sieht ganz nett aus.
Funnktioniert in beide Richtungen, habe mit nem Kernel 2.6.7 entschlüsselt, funktioniert. Cipher war AES256.
Jetzt kann ich endlich meinen FileServer ein bisschen entlasten, ein 333Mhz ist einfach nicht so ganz die Party dafür :D

Gruss Robert

Funnktioniert in beide Richtungen, habe mit nem Kernel 2.6.7 entschlüsselt
Nur interesse halber: Hast du das CryptoLoopDevice genommen, oder hat CrossCrypt auch schon eine Unterstützung für den DeviceMapper ?

Hallo,

ist es eigendlich auch möglich eine ganze Partition unter Linux zu verschlüsseln und windows dann zu mounten, oder geht das nur über die container? Ist es möglich den Container auf einer ext3 oder rsf Partition liegen zu haben und trotzdem unter win darauf zugreifen zu können?

mfg Dragon

Hallo,


Nur interesse halber: Hast du das CryptoLoopDevice genommen, oder hat CrossCrypt auch schon eine Unterstützung für den DeviceMapper ?
Ich weiss zwar nicht wovon du redest, aber es hört sich interessant an :ugly: (zitat: HotShots)

Ich benutze ganz normal loop-AES, so mit losetup und /dev/loopx und so ;)
CrossCrypt benutzt einfach die AES Crypto API unter Windows, mit nem eigenen Programm dass die Container dann "mounted", unter Linux wird das ganze dann ebenfalls ganz normal mit encryption=AES256 gemounted.

Was ist die Frage? :D

@DRAGONofPOG: je nachdem ob du zb http://uranus.it.swin.edu.au/~jn/linux/ext2ifs.htm benutzen willst, der treiber ist beta. Ich hab das ganze Zeug auf meinem Fileserver, ist portabler und ich brauch keine ide-erweiterung.

Gruss Robert

Was ist die Frage?
Das "Ich benutze ganz normal loop-AES" ist für mich die Antwort auf die Frage.
AES ist ja nur ein Verschlüsselungsalgorithmus, aber es gibt verschiedene Möglichkeiten, diesen anzuwenden. (loopAES ist eine davon)

Da ich mittlerweile die (angeblich sicherere) Variante DMCrypt verwende, war meine Frage also quasi, ob CrossCrypt evtl. sogar schon DMCrypt kompatibel ver/entschlüsseln kann...

Gruß,
Eierhahn

Hallo,

dmcrypt ist doch auch nur eine implementation von AES und anderen algorithmen, oder? Dann solltes damit doch eigentlich auch funktionieren.

Hab eben mal gebenchmarkt, mein windows schafft ne verschlüsselung von 1,2mb/sec, normales samba bewegt sich im bereich von 5mb/sec, also ist aes unter windows langsamer, weil ich schon mit meinem 333er 3mb/sec geschafft habe (AES).

Gruss Robert

dmcrypt ist doch auch nur eine implementation von AES und anderen algorithmen, oder? Dann solltes damit doch eigentlich auch funktionieren.
Das ist so nicht richtig. Wenn ich das richtig sehe, verwenden z.B. DMCrypt und das CryptyLoop Device des 2.6er Kernels sogar das selbe AES Modul - ABER:

Man darf in diesem Zusammenhang nicht den Verschlüsselungsalgorithmus und dessen Anwendung durcheinander werfen. So kann falsche Anwendung eines sicheren Algorithmus' zu Sicherheitsproblemen führen.

Beispiel: loopAES und CryptoLoop: Das LoopDevice hängt hinter den "normalen funktionen zum Schreiben auf eine Festplatte". Damit werden ALLE auf die Platte geschriebenen Daten durch z.B. AES gejagt und landen verschlüsselt auf der Platte. Und genau hier liegt die Schwäche dieses Prinzips. Ist der Typ des Dateisystems bekannt, so kennt man den tatsächlichen Inhalt bestimmter Sektoren. Man kennt also die verschlüsselte & die unverschlüsselte Variante. Daraus lassen sich Teile des Schlüssels berechnen und das ganze wird unsicher - obwohl der Verschlüsselungsalgrithmus AES selbst "sicher" ist.

Wie DMCrypt genau funktioniert habe ich noch nicht genau herausgefunden. Die Informationen im Netz sind noch recht dürftig, da noch recht neu das Ganze. Allerdings wurde dabei genau dieser Schwachpunkt umgangen. Ich kann mir vorstellen, dass DMCrypt nur die Nutzdaten der Platte verschlüsselt und den rest unverschlüsselt auf die Platte schreibt...

edit: Von daher - um zurück zum eigentlichen Thema des Threads zu kommen - muss CrossCrypt nicht unbedingt mit DMCrypt verschlüsselte Daten lesen können...

Soweit,
der Eierhahn

Beispiel: loopAES und CryptoLoop: Das LoopDevice hängt hinter den "normalen funktionen zum Schreiben auf eine Festplatte". Damit werden ALLE auf die Platte geschriebenen Daten durch z.B. AES gejagt und landen verschlüsselt auf der Platte. Und genau hier liegt die Schwäche dieses Prinzips. Ist der Typ des Dateisystems bekannt, so kennt man den tatsächlichen Inhalt bestimmter Sektoren. Man kennt also die verschlüsselte & die unverschlüsselte Variante. Daraus lassen sich Teile des Schlüssels berechnen und das ganze wird unsicher - obwohl der Verschlüsselungsalgrithmus AES selbst "sicher" ist.


Dazu:
Das ist prinzipiell richtig - man sollte jedoch bedenken dass es bei jeglichem Dateityp bestimmte Fragmente gibt die gleich sind.

Ist also in meinen Augen kein "Killerargument"...

mfg
cane

Wenn man vorher die Platte mit zufallszahlen gewischt hat, stell ich mir schon recht schwer vor verschlüsselte daten und unverschlüsselte zu unterscheiden....

Aber ich hab ja keine Ahnung davon und bin deshalb ruhig und zufrieden, dass es wenigstens verschlüsselt ist :D

Gruss Robert

Dazu:
Das ist prinzipiell richtig - man sollte jedoch bedenken dass es bei jeglichem Dateityp bestimmte Fragmente gibt die gleich sind.
Zur Umgehung dieser Problematik bietet LoopAES die Möglichkeit im multi-key mode zu verschlüsseln. dm-cryp bietet dies afaik nicht. Siehe dazu auch http://www.linuxforen.de/forums/showthread.php?t=149837

man sollte jedoch bedenken dass es bei jeglichem Dateityp bestimmte Fragmente gibt die gleich sind.
Auch hier wird meiner Meinung mal wieder ein kleiner Unterschied übersehen. Ich sprach von DATEISYSTEMEN. Wenn ich mir eine Platte z.B. mit fdisk anschaue, sehe ich genau, wie die Platte partitioniert ist - ob verschlüsselt oder nicht.
Wenn ich dann noch weiss, welches FS verwendet wird (im schlimmsten fall probiere ich den Angriff mit den 3-4 verschiedenen Typen durch) dann weiss ich, was auf in einem bestimmten Sektor unverschlüsselt stehen sollte... Und daraus resultiert eine Schwäche...
Natürlich gibt es bei allen Deteitypen gleiche Fragmente - aber ich weiss nicht, wo auf der Platte welche Art von Datei liegt !


Zur Umgehung dieser Problematik bietet LoopAES die Möglichkeit im multi-key mode zu verschlüsseln. dm-cryp bietet dies afaik nicht. Siehe dazu auch http://www.linuxforen.de/forums/showthread.php?t=149837
Zum Multi-Key Mode von loopAES: Damit kenne ich mich nicht aus, werde ich mir aber die Tage mal aneignen. Die Aussage, auf die du dich im anderen Thread berufst, ist ja auch mehr als wage...
In DMCrypt gibt es keine Gegenmaßnamen, da das Problem dort nicht existiert...

- Eierhahn

Die Aussage, auf die du dich im anderen Thread berufst, ist ja auch mehr als wage...
In DMCrypt gibt es keine Gegenmaßnamen, da das Problem dort nicht existiert...
Wage? und warum soll das Problem in dm-crypt nicht existieren?
http://mail.nl.linux.org/linux-crypto/2004-07/msg00018.html und http://marc.theaimsgroup.com/?l=linux-kernel&m=107719798631935&w=2 und http://marc.theaimsgroup.com/?l=linux-kernel&m=107419912024246&w=2

Just look at mainline folks merging another equally vulnerable and exploitable implementation (i.e. dm-crypt), with exactly same vulnerabilities that cryptoloop has, just in different package.
...
Anyone still setting up new encrypted file systems using cryptoloop or current dm-crypt or single-key loop-AES, is committing security malpractice

ich hatte mal einen so schönes link indem genau sowas beschrieben war, leider finde ich ihn nicht mehr :-(

DM-Chrypt in Kombination mit Cryptsetup-LUKS mit dem Chiffriermodus CBS-ESSIV ist IMHO die sicherste Möglichkeit Festplatten zu verschlüsseln.

Vorteile:

-man hat einen Master-Key, der wiederum mit einem anderen Hex-Key verschlüsselt ist, der aus einem Passwort per Hash erzeugt wird (Wer will schon dauern 32 Hex-Ziffern aus dem Gedächtnis tippen). So muss man bei einer Änderung des Passwortes nicht auch alle Daten komplett neu verschlüsseln sondern nur den Master-Key.

-man kann bis zu 8 Passwörter für den Master-Key anlegen

-die Verschlüsselungsinformationenen liegen ebenfalls auf der verschlüsselten Partition

-man kann nicht von bekannten Inhalten (wie z.B. Partitionsheadern) auf die Verschlüsselung schließen, da gleiche Daten (wie z.B. lauter nullen) je nach Position auf der Platte auch unterschiedlich verschlüsselt sind.





PS: Kernelversion sollte min. 2.6.10 sein.

Ich bin grade über dieses Thema gestolpert. Und hab an euch ne frage.
Hat jemand von euch schonmal getestet ob man auf mit dm-crypt verschlüsselte Partitionen von Windows per CrossCrypt zugreifen kann?
und
Kann man überhaubt auf Partitionen zugreifen oder nur auf Container zugreifen?

thx

würde mich auch interessieren ! hatt jemand erfahrungen mit der geschwindigkeit? hab hier nur nen duron 733 als linux server stehn und wollte meine urlaubsvideo und musik verschlüsseln. Wie ist dann der zu erwartende speed bei sagen wir einem 128-bit AES Key??