PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Maildir verschlüsseln



CRAZyBUg
28.07.09, 03:12
Hi, gibt es eine Möglichkeit die Maildirs verschlüsselt abzulegen?

Ich meine etwas, das den Inhalt der Mails vor z.B. einem Sysadmin durch verschlüsselten Inhalt verbirgt.

Ich stell mir da was vor, dass das Userpw zum entschlüsseln genutzt wird.

Jemand ne Idee oder allgemein nicht möglich?


Grüße :)
CBUg

marce
28.07.09, 07:20
(1) Über einen Crypto-Container. Den kann der Admin dann aber auch lesen, sobald er gemountet ist.

(2) evtl. über PGP / GPG - da müßte man dann vermutlich aber in die Konfig des Mailservers tief eingreifen

CRAZyBUg
28.07.09, 23:17
schade, es scheint dafür keine produktiv einsetzbare Lösung zu geben.

zyrusthc
28.07.09, 23:37
Ich meine etwas, das den Inhalt der Mails vor z.B. einem Sysadmin durch verschlüsselten Inhalt verbirgt.

Ich stell mir da was vor, dass das Userpw zum entschlüsseln genutzt wird.
Der Sysadmin "root" hat immer Zugriff auf die Hashes "er betreibt ja auch die Dienste", also wird es schlecht möglich sein vor ihm etwas zu verbergen. Die von marce 2. genannte Möglichkeit ist ein guter Ansatz.

schade, es scheint dafür keine produktiv einsetzbare Lösung zu geben.
Beide genannten Möglichkeiten sind produktiv einsetzbar!


Greeez Oli

Wene
28.07.09, 23:44
Zu nenne wäre da auch noch "encfs". Ob sich das mit dem Userpasswort koppeln lässt weiss ich nicht, aber immerhin kann root nicht in den verschlüsselten Pfad schauen während der gemountet ist.

marce
29.07.09, 07:18
wieso sollte root das nicht können?

gropiuskalle
29.07.09, 07:25
wieso sollte root das nicht können?

Weil das nun mal nicht geht. :)


kalle@hoppers:~> encmount [nur ein alias]
EncFS-Passwort:
Encrypted filesystem now mounted
kalle@hoppers:~> su -
Passwort:

Automatic logout after five minutes without input or job

hoppers:~ # ls /home/kalle/daten/Crypto/cryptomount
ls: cannot access /home/kalle/daten/Crypto/cryptomount: Permission denied

EncFS hat zudem den Vorteil, dass es keinen Container mit festgelegter Größe benötigt.

marce
29.07.09, 07:30
Ok, interessant - ich kenne encfs bisher nicht vom konkreten Einsatz her.

... und was passiert, wenn root ein su auf den User macht?

zyrusthc
29.07.09, 07:30
http://de.wikipedia.org/wiki/EncFS :rolleyes:

Greeez Oli

gropiuskalle
29.07.09, 07:49
... und was passiert, wenn root ein su auf den User macht?

Punkt für Dich, aber das geht natürlich nur dann, wenn eine EncFS-Partition auch gemountet ist. Ob das im vorliegenden Fall ausreicht, muss CRAZyBUg entscheiden.

marce
29.07.09, 07:52
naja, das Problem gibt's AFAIK mit jedem System - root kann entweder an sich drauf zugreifen oder eben dann, wenn er su anwendet (da er ja dann der User ist) - man bräuchte also ein System, welches nur in der aktuellen Shell (und deren Subshells) zugreifbar ist...

Das Problem ist eben immer und überall: Vertraue dem Sysadmin, denn er darf "alles".

gropiuskalle
29.07.09, 08:00
Nochmal: nur dann, wenn die EncFS-Partition gemountet ist. Man könnte z.B. einen ~/.thunderbird-Ordner in den die Partition schmeißen (und an die ursprüngliche Stelle ein symlink setzen), womit dessen Inhalt on the fly verschlüsselt wird, anschließend Thunderbird starten, damit ein wenig rumgurken, TB beenden und die EncFS-Partition wieder umounten. Dann kann sich root Kopf stellen, er müsste das Passwort bruteforcen, um an den Inhalt zu kommen. Das ganze ist natürlich nicht praktikabel, wenn root und user zeitgleich im System angemeldet sind.

marce
29.07.09, 08:04
klar. Was aber wie gesagt wohl (bis auf das zusätzlich notwendige su $user nichts ist, was bei anderen Crypto-Systemen nicht auch möglich wäre.

gropiuskalle
29.07.09, 08:12
Diese ganze root-Kiste ist auch nicht der Grund, weshalb ich EncFS nutze, sondern v.a. der Umstand, dass man keine feste Größe angeben muss, sondern immer soviel da reinwerfen kann, wie eben noch Platz auf der eigentlichen Partition ist (wo die verschlüsselte Partition eingehangen ist) - sorry, ich hab heute Nacht nicht geschlafen - das hier meine ich:


kalle@hoppers:~> df -h
Dateisystem Größe Benut Verf Ben% Eingehängt auf
/dev/sda1 15G 8,5G 5,7G 60% /
udev 2,0G 2,4M 2,0G 1% /dev
/dev/sda2 278G 198G 66G 76% /home
/dev/sdb1 74G 52G 18G 75% /home/kalle/backup
encfs 278G 198G 66G 76% /home/kalle/daten/Crypto/cryptomount

Das macht die ganze Angelegenheit etwas flexibler. Soweit ich weiß, müssen andere Cryptofilesysteme doch zudem von root angelegt werden, oder?

Alex_K
29.07.09, 17:23
(2) evtl. über PGP / GPG - da müßte man dann vermutlich aber in die Konfig des Mailservers tief eingreifen

Das ist meiner Meinung die einzige halbwegs vernünftige Lösung, und sollte auch mit überschaubaren Aufwand umsetzbar sein. Mail Server unter Linux sind sowieso eine Zusammenarbeit verschiedenster Tools. Wenn z.B. Postfix an Dovecot die Mails zustellt, könnte durch eine kleine Änderung in der Config ein zusätzliches Skript dazwischen einfügen, welches alle Mails nochmals mit PGP/GPG verschlüsselt.

Ab dem Zeitpunkt wären dann alle Mails verschlüsselt. Dem Admin muss man aber trotzdem trauen, denn dieser könnte sich immer noch vor der Verschlüsselung eine lesbare Kopie anfertigen.

Die einzige Lösung bei der der Admin keine Chance hat mitzulesen, ist eine Ver-/Entschlüsselung auf Client-Seite. Also die klassische PGP/GPG Verschlüsselung: Absender-Client verschlüsselt die Mail, Empfänger entschlüsselt sie. Der Server bekommt zu jedem Zeitpunkt nur "Datenmüll" zu sehen.

Wene
29.07.09, 19:34
Diese ganze root-Kiste ist auch nicht der Grund, weshalb ich EncFS nutze, sondern v.a. der Umstand, dass man keine feste Größe angeben muss, sondern immer soviel da reinwerfen kann, wie eben noch Platz auf der eigentlichen Partition ist

Genau das ist auch mein Einsatzgebiet von EncFS. Ich hatte es hier eingeworfen da es der Anforderung bez. root IMO am nächsten kommt.

Pingu
30.07.09, 10:11
naja, das Problem gibt's AFAIK mit jedem System - root kann entweder an sich drauf zugreifen oder eben dann, wenn er su anwendet (da er ja dann der User ist) - man bräuchte also ein System, welches nur in der aktuellen Shell (und deren Subshells) zugreifbar ist...

Das Problem ist eben immer und überall: Vertraue dem Sysadmin, denn er darf "alles".Jaein. Mit der SELinux-Erweiterung kann man das alles einschränken. Das ist genau für solche Anforderungen gemacht. Dir richtige Konfiguration ist allerdings nicht so einfach.

marce
30.07.09, 10:14
hm, und wer administriert die SELinux-Erweiterung?

Mit LIDS konnte man root auch Rechte entziehen - aber da ja root die Erweiterung administriert - kann er diese auch wieder hinzufügen /aushebeln (ok, dafür brauchts ein PW - aber der root, der das eingerichtet hat, kennt das auch. Und wenn es nur einen gibt - siehe oben. Wenn es mehrere gibt, die root sein dürfen ok, dann könnte es welche geben, die eben nicht alles dürfen. Davon würde ich aber nicht ausgehen.)

Pingu
30.07.09, 11:20
Wenn SELinux einmal scharf ist, kann root auch nicht mehr so einfach. Das geht dann nur noch über Neustarten mit alternativen Kernel.
Solange es noch nicht richtig scharf ist und nur im reporting läuft, kann root natürlich noch alles.

marce
30.07.09, 11:32
wobei wir dann aber wieder an dem Punkt sind "der Admin kann" - und wenn ich den TE richtig interpretiere, dann hätte er gerne eine Lösung, die ihm Sicherheit seiner Daten garantiert, ohne daß er einem Admin dafür vertrauen muss.

Admins haben einfach, was Datensicherheit und Wahrung der Datenintegrität / persönlicher Intimsphäre / ... eine große Verantwortung und brauchen da einen gewissen "Vertrauensbonus" (wenn man mal davon ausgeht, was die alles dürfen)

Stormbringer
30.07.09, 11:58
Ich meine etwas, das den Inhalt der Mails vor z.B. einem Sysadmin durch verschlüsselten Inhalt verbirgt.
Nur so als Hinweis (ohne zu wissen in welchem Umfeld es genutzt werden soll): je nach Nutzungsbestimmungen & Anwendungsbereich rechtfertigt dies eine fristlose Kündigung, ggf. vorher noch um die Herausgabe der Schlüsselpaare, Kennwörter, o. ä.