hallo,

ich habe folgendes im inet gefunden
http://de.susewiki.org/index.php?title=Verschl%C3%BCsselte_Festplatten

jetzt habe ich ein paar fragen:
Was für Vorteile/Nachteile hat das Verschlüsseln?
Kann man das irgendwie knacken?
Wenn ich eine Platte mit Daten verschlüsseln will, bleiben die Daten?
Ich kenn mich damit nicht aus aber ich will auch eine smb freigabe auf der verschlüsselten platte haben! Funzt doch alles`??!

greez
dennis

Was für Vorteile/Nachteile hat das Verschlüsseln?

Vorteile: Niemand Unbefugtes kann deine Daten lesen.
Nachteile: Gewisser Performance-Verlust.


Kann man das irgendwie knacken?
Ja, wird aber mit steigender Schlüssellänge unwahrscheinlich bis hin zu nahezu unmöglich.


Wenn ich eine Platte mit Daten verschlüsseln will, bleiben die Daten?
Ich versteh die Frage nicht. Natürlich bleiben die Daten. Was hätte das auch sonst für einen Sinn?


Funzt doch alles`??!
...häh?

danke erstmal!
zu deinem hää ( :D ):
das ist ja dann mit nem Passwort verschlüsselt (!!?) und ich will dann halt n paar daten als samba freigabe ins netz stellen! samba weis ja das passwort net! Geht das also mit samba?

greez
und thx
dennis

das ist ja dann mit nem Passwort verschlüsselt (!!?) und ich will dann halt n paar daten als samba freigabe ins netz stellen! samba weis ja das passwort net! Geht das also mit samba?

hallo!

die verschlüsselung spielt sich unter dem vfs ab. der userspace merkt davon nichts. also geht es...

//richard

ok danke euch! dann werd ichs mal verschlüsseln!

greez
dennis

öhm...sobald ich

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hdb1
eingebe, wird gefragt ob ich wirklich weiter machen will, da alle daten gelöscht werden:


WARNING!
========
This will overwrite data on /dev/hdb1 irrevocably.

Are you sure? (Type uppercase yes):


kann ich die platte auch verschlüsseln ohne die daten zu verlieren??!

greez
dennis

kann ich die platte auch verschlüsseln ohne die daten zu verlieren??!


nein, jedfalls nicht, mit der methode, die du machen willst.
mit loop-aes geht es per aes-pipe.

//richard

ok danke!

dennis

klar ...daten auf ne andere platte verschieben -> alte partition verschluesseln -> daten wieder rüberziehen :P

ich würde in jedem fall vorher ein image machen! stell dir mal vor du hast plötzlich einen stromverlust, dann ist schicht im schacht.
erst danach würd ich das fs modifizieren.

Geht das auch mit der root partition?
Also ich mein ich kann doch nicht meine ganze rootpartition verschieben, während auf dieser das System läuft oder?

Geht das auch mit der root partition?
Also ich mein ich kann doch nicht meine ganze rootpartition verschieben, während auf dieser das System läuft oder?
Das muesstest du von einer Live-CD wie Knoppix aus machen.
Lies' dir aber vorher entsprechende HoTos durch, sonst sperrst du dich ganz schnell aus :)

Hast du dir überhaupt schon einmal Gedanken darüber gemacht, ob sich das für dich lohnt? Soweit ich das hier verstanden haben, möchtest du einfach mal drauf los verschlüsseln :ugly: :ugly: :ugly:

Wenn es um (insbesondere wichtige) Daten geht, sollte man eher etwas vorsichtig sein und vor allem so ein wildes drauflosverschlüsseln sein lassen...

Wenn du nochmal etwas ausprobieren möchtest, dann führ mal als root den folgenden Befehl aus:


rm -r /

Hätte den selben Effekt, wie dein wildes drauf los verschlüsseln :rolleyes:

@jaus:
meinst du mich??
wenn ja:
es sind schon wichtige daten! deswegen ja das verschlüsseln! ich habe mir auch einige howtos angeschaut! Und "rm -r /" werd ich GANZ BESTIMMT net ausführen! ;) :ugly:

greez
dennis
p.s. meine platte ist jetzt verschlüsselt und es funktioniert alles tadellos!

Es geht doch nicht um wichtig oder nicht, es geht eher ums prinzip zu wissen ob das geht

Es geht doch nicht um wichtig oder nicht, es geht eher ums prinzip zu wissen ob das geht

jop! und wenn du das system in nächster zeit neu installieren willst, kannst du gleich bei der Installation bei Yast (falls du SuSE benutzt; gibts bestimmt auch bei anderen Distris) ein Crypting einstellen! Ich weis aber net wie gut die ist! Ich habe jetzt mal meinen Onkel (hobby-hacker) auf meine gecryptete Pladde losgelassen! Er hats net geschafft :)

greez
und schön` abend noch
dennis

Mal im Ernst... Das ganze klingt eher nach ein wenig Kinderspielerreien. Würde ja gerne einmal wissen, was dein Chef mit dir machen würde, wenn du soetwas "mal schnell" auf der Arbeit machst... Sind ja auch wichtige Daten, ne? Also: Verschlüsseln! :ugly:

Und glaub mir... WENN man wirklich etwas von deinen Daten haben will (was ich für ziemlich unwahrscheinlich halte :ugly: ), dann knackt man auch dieses System noch... Es ist immer ziemlich bescheuert, wenn man etwas verschlüsselt und den Algorithmus, den man benutzt hat, kann man, weil es OpenSource ist, aus dem Internet herunterladen :ugly: DA kommt doch Freude auf ;)

@jaus: ein algorithmus innerhalb der sicherheitsszene wird erst als sicher ankzeptiert, wenn er quelloffen irgendwo zum anschauen rumliegt.
dann schauen sich den quellcode viele kluge köpfe an und überlegen welche bedingung eintreten muss, um des zu knacken und wie man diesen zustand künstlich herstellen kann. erst wenn es theoretisch zu knacken ist, dann sollte man sich sorgen machen.
die größten sorgen sollte man haben, wenn man den zugrunde liegenden algorithmus des verschlüsselns nicht zugänglich hat, da da niemand reinschauen kann und es nur mit "glück" klappen kann da schwachstellen zu finden.

für das verschlüsseln eines ganzen systems spricht überhaupt nichts. es spricht da eher sehr viel dagegen! da dann sehr viele bekannte informationen in verschlüsselter form herumliegen (ausführbare dateien usw...) und mithilfe dieser dann auch das entschlüsseln um einiges schneller gelingt.
wenn dann sollte man wirklich nur die eigentlichen daten verschlüsseln (/home zum beispiel) damit die angriffsfläche geringer ist.

greetz

Mal im Ernst... Das ganze klingt eher nach ein wenig Kinderspielerreien. Würde ja gerne einmal wissen, was dein Chef mit dir machen würde, wenn du soetwas "mal schnell" auf der Arbeit machst... Sind ja auch wichtige Daten, ne? Also: Verschlüsseln! :ugly:


"Meier, was zum Teufel machen sie da?" - "Ich verschlüssel alle wichtigen Daten, Chef! Sind ja wichtig!!!111"

*SCNR*



Und glaub mir... WENN man wirklich etwas von deinen Daten haben will (was ich für ziemlich unwahrscheinlich halte :ugly: ), dann knackt man auch dieses System noch... Es ist immer ziemlich bescheuert, wenn man etwas verschlüsselt und den Algorithmus, den man benutzt hat, kann man, weil es OpenSource ist, aus dem Internet herunterladen :ugly: DA kommt doch Freude auf ;)

Sorry, aber das ist Blödsinn ;) Warum, hat quinte17 ja bereits geschrieben.

Ein schönes Zitat hierzu ( aus wikipedia ):



AES ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.


zu finden unter [1].

Ich setze übrigens, um aufs Thema zurückzukommen, AES256 auf meiner verschlüsselten Partition ein. Einzig die Tatsache, dass ich bei jedem neuen Kernel auch das loop-aes-Modul neu bauen muss stört mich etwas, ansonsten ist das Ganze sehr komfortabel und einfach gelöst.

-hanky-

[1] http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Ansonsten sollte man wenn möglich auch seine "/ - Partition" verschlüsseln, um das Einschleusen von Keyloggern zu erschweren; und natürlich, da unter /tmp, etc. auch einiges herumliegen kann.

Aktuelle Cryptoarchitekturen machen dann auch known-plaintext Attacken schwerer.

Für hanky könnte cryptsetup-luks interessant sein.

Gruss,
Christian

PS:
Es ist übrigens ziemlich witzlos, einen "hobby-hacker" an AES heranzusetzen, so denn die passphrase gut gewählt wurde.

in meinem text weiter oben habe ich beschrieben, warum man dies eigentlich nicht machen sollte.... (zumindest wenn dort auch die geheimen daten drauf sind)
desweiteren sollte man auch noch den bootsektor dann beim booten gegen eine checksum prüfen, weil auch der manipuliert werden kann... usw.usf..

greetz

in meinem text weiter oben habe ich beschrieben, warum man dies eigentlich nicht machen sollte.... (zumindest wenn dort auch die geheimen daten drauf sind)
desweiteren sollte man auch noch den bootsektor dann beim booten gegen eine checksum prüfen, weil auch der manipuliert werden kann... usw.usf..

greetz

Ich kann mir kaum vorstellen, dass die Daten, die er da auf seiner Festplatte aufbewart SO wichtig sind :ugly:

/boot kann zB von einem USB-Stick kommen.

Ausserdem ist dir schon klar, welche Auswirkungen cbc und essiv haben, die zB standardmässig aktiv sind bei der Nutzung cryptsetup-luks?

Wie gesagt, known-plaintest Angriffe sind schwer bei aktuellen Implementationen. Zumindest überwiegt die gewonnene Sicherheit gegenüber den Risiken. Ansonsten sollte man am besten auch home nicht verschlüsseln, da ja Dateisystem-Header und Header bestimmter Dateiarten auch known plaintext sind. ;)

Gruss,
Christian

Ansonsten sollte man wenn möglich auch seine "/ - Partition" verschlüsseln, um das Einschleusen von Keyloggern zu erschweren;
Was soll denn das mit Verschluesselung zu tun haben? Das waere nur ein Mittel "das Einschleusen von Keyloggern zu erschweren", wenn jemand physisch an deinen Rechner kommt und dann per Hand einen Keylogger installiert.
Und selbst dann wartet er, bis du mal Pinkeln bist, und macht es dann. Verschluesselte Platten sind, wenn gemounted, entschluesselt und somit fuer jeden zugaenglich[1] (natuerlich abhaengig von den Dateirechten).


[1] Ja, ich weiss, dass das eine grobe Vereinfachung ist.

Was das damit zu hat? Es ist ziemlich kompliziert, ausführbare Dateien auf einer verschlüsselten Partition mit zusätzlichem Code zu versehen.
Das gegen Hardware das nichts hilft, ist ja wohl hoffentlich klar.

Ich kann mir kaum vorstellen, dass die Daten, die er da auf seiner Festplatte aufbewart SO wichtig sind :ugly:

Es gibt hunderte plausible Gründe, warum Daten verschlüsselt werden sollten.

Was das damit zu hat? Es ist ziemlich kompliziert, ausführbare Dateien auf einer verschlüsselten Partition mit zusätzlichem Code zu versehen.
Naja, nur sobald der Rechner an ist, ist die Platte leider nicht mehr verschlüsselt (zumindest, wenn man nicht versucht, Programme durch direkte Manipulation der entsprechenden Festplattensektoren zu verändern).

Klar, sobald das Laufwerk gemapped ist, ist Schicht. Allerdings muss dann ein Dienst aktiv sein, wie ssh zB, über den mein eindringt, oder man muss an das Gerät selbst.
Die Sache ist halt die, das man durch Verschlüsseln von "/" einem Angreifer eine weitere Möglichkeit nimmt, Informationen zu gewinnen. Einige bleiben natürlich weiterhin vorhanden, aber rein prinzipiell geht es (zumindest mir ;) ) erst einmal darum, das einfach Machbare zu tun.

Und zumindest die kommerziell erhältlichen Keylogger sehen schon ein wenig auffällig aus, was man von einer manipulierten "bash" jetzt nicht sagen könnte.

Aber vielleicht kann man sich ja auf eine Reihenfolge der Wichtigkeit einigen? :D
"/home"
"/var" und "/tmp"
"/"
"/boot" auf Usb-Stick?

Gruss,
Christian