Hallo

Gibt es eine möglichkeit, einen USB STick als "schlüssel" einzusetzen? Ich stelle mir das so vor: Linux bootet nur, wenn es diesen USB-Stick erkennt. Mein Mainboard unterstützt auch das booten von USB. Habt ihr ne Idee dazu?

Schön wäre auch, das wenn man den Stick im laufenden Betrieb abzieht, Tastatur und Maus gesperrt werden, bzw. man den Screensaver nicht beenden kann!

Für Info´s, Idden und Anregungen wäre ich sehr dankbar

dragi

Wie läuft das denn ab wenn ich meine gesamte Platte verschlüssel? sobald ich drauf zugreife, wird doch die platte entschlüsselt. Dafür muss das verschlüsselungsprogramm ja irgendwo daten abspeichern aus denen es weiss, wie es verschlüsselt wurde. Kann ich diese nicht auf den USB Stick auslagren, sodass ich nur zugriff auf die platten habe, wenn dieser connected ist?

das wäre dann ein dongle ;)
ich kenne zufällig eine firma welche sowas herstellt ;)

also meine firmen mails z.b. kann ich nur mit _meinem_ dongle lesen.

bevor jemand meckert: nein, man kann ihn nicht emulieren. der dongle phrased den code mit einer eigenen cpu komplett gecryptet. sicher nix is unknackbar - aber wer will schon meine mails lesen ? :ugly:

greets, Nik

wenn du deine hdd verschlüsseln willst, schau dir loop-aes an. nen 20 stelliges passwort mit ner 128 bit rsa verschlüsselung sollte hobby forcern den spaß verderben.

ja, nur würde ich halt gerne meinen USB Stick zu so nem "Dongle" machen! Geht das irgendwie? Ich weiss das es sowas zu kaufen gibt, mich interessiert nur eben wie ich nen normalen USB Stick dazu mache. Entweder nur um die Festplattenverschlüsselung aufzuheben oder ihn als "Bootschlüssel" zu nutzen!

Nur wie....da bin ich noch überfragt

Wenn der USB-Stick das einzige Medium ist, von dem gebootet werden kann, hast du doch schon deine Sperre? - Bootmanager von den Platte weg. Diskette deaktivieren, dann gehts nur mehr mit dem Stick.

Jo, der nächste der dran will, legt irgendeine Linux Boot cd oder diskette ein und startet das OS nach dem er im Bios die Bootreihenfolge geändert hat oder baut die platte in nen anderen rechner ein. Nicht wirklich sicher!

Linux sicher booten glaub ich nicht. Aber die Daten der Paltte kannst Du so schützen. Das zauberwort lautet verschlüsseltes Dateisystem.
Loop-AES

Man legt auf dem Stick eine Datei mit dem Passphrase an. Anschließend kann man deren Inhalt an die gepatchten Systemprogramme als Passphrase übergeben. Mit einer Befehlszeile bindet man dann diese Verschlüsselte Platte ins System ein - aber nur dann, wenn der USB-Stick mit der Notwendigen Passphrase vorhanden ist.




Gruss Leon

Cool! Also sehe ich das richtig, das eine platte unverschlüsselt bleibt um dann den USB Stick zu erkennen. Das einbinden, kann man dann doch bestimmt automatisieren, sobald USB Stick erkannt bindet Linux die Platten ein. Und wenn man dann noch den Bootmanager draufgibt sollte das ganze einigermassen sicher sein. Lieg ich damit richtig?

Das bringt mich meiner Idee schon sehr nah!!! Danke

da is der stick ja ehr nen sicherheitsrisiko.
passwörter ablegen war schon immer schlecht ;)

aus deinem usb stick nen dongle bauen ? nein.

aber die idee mit dem cpu-lock is garnicht soo schlecht. man müßte halt nen wenig am sys ändern.
ob das ohne großen aufwand gehen könnte, werd ich morgen mal meinen cheffe fragen.
und sonen cpu dongle kostet nicht die welt wenn man in großen massen abnimmt.

greets, Nik

Leider nicht ganz. Die Platte wird komplett verschlüsselt. Du kannst auch nur eine Partition nehmen ist egal. Das einbinden der Platte mittels mount gelingt aber nur wenn der Stick mit der Passphrase Datei eingesteckt ist.



Gruss Leon

@leon

Genau so hab ichs mir gedacht. Die Platten sollen komplett verschlüsselt werden und nur wenn der Stick dran ist, sollen diese lesbar und gemountet werden. Dann werd ich mich mal an dieses Loop-AES machen. Hoffe es ist nicht zu kompliziert!

THX

Wenn Du SuSE verwendest ist alles schon dabei. http://sdb.suse.de/de/sdb/html/jsj_crypto_filesystem_mini_howto.html



Gruss Leon

momentchen.


Das einbinden der Platte mittels mount gelingt aber nur wenn der Stick mit der Passphrase Datei eingesteckt ist.

oder aber wenn man die passphrase weiß.
und ich bin mir nicht wirklich sicher, dann man ne verschlüsselte partition booten kann.
du müßtest ja bevor der kernel geladen ist das loop modul laden. .....

ganz so einfach isses nicht

Gut, dann muss man ne kleine unverschlüsselte Platte haben auf der das OS liegt. Alle wichtige dateien auf verscchlüsselte physikalische Platten legen. Diese können dann nach dem Booten mit hilfe des USB Sticks gemountet werden, oder?

Deshalb geht das ja auch nur mit Platten oder Partitionen nicht nicht direkt mit dem System gekoppelt sind. Also auf gut deutsch alles geht ausser /
Denn / wird ja bekanntlich zum booten benötigt. init und so

Aber alle anderen Platten kannst Du verschlüsseln. Meistens geht es doch darum seine eigenen Daten zu verschlüsseln. /home




Leon

Hallo,

also erstmal, pack deinen Kernel unter /boot und mach ne eigene Partition daraus, dann kannst du auch / verschlüsseln, ich habe da aber letztens einen Tip geschrieben:

klick hier (http://www.linuxforen.de/forums/showthread.php?s=&threadid=63209)

giftnudel

Ich habe mich noch nicht näher mit LOOP-AES beschäftigt, jedoch halte ich es für unklug, den Passphrase auf dem Stick abzulegen.
Ist es nicht möglich, den KEY auf dem Stick abzulegen und diesen dann nur mit Hilfe des Passphrase, welcher manuell eingegeben werden muss, zu entschlüsseln? Sollte der Stick gestohlen werden, so kann man nichts damit anfangen, weil man den Passphrase nicht kennt, ohne Stick geht sowieso garnichts, da man keinen Zugriff auf das FS hat.

Sollte das Auslagern des Keys auf den Stick möglich sein, dann wäre das eine sehr sichere Lösung.


Gruß, Thomas.

Du kannst Dir ja eine Kopie der Datei machen und diese von mir aus zum Schutz PGP Verschlüsseln.



Alles machbar.


Gruss Leon