[linux-l] Sicherheit oder irgendwas, hauptsache einfach?

Benjamin Schieder blindcoder at scavenger.homeip.net
Mi Jun 14 21:13:14 CEST 2006 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Mike Dornberger wrote:
> Hi,
> 
> On Wed, Jun 14, 2006 at 03:33:14PM +0200, Benjamin Schieder wrote:
> 
>>On 14.06.2006 13:16:28, Mike Dornberger wrote:
>>
>>>On Tue, Jun 13, 2006 at 08:57:17PM +0200, Benjamin Schieder wrote:
> 
> 
>>>[schlechte Implemtierung bei dm-crypt, truecrypt, ...? loop-AES
>>>besser?]
> 
> 
>>Vor einiger Zeit wars genau andersrum, da war loop-AES anfaellig. Daher
> 
> 
> Hast du da mal ein paar Links zu? Aus der ChangeLog von loop-AES entnehme

Nein, leider nicht. Hab loop-aes July 2005 aus ROCK Linux entfernt. Ist also
schon ne Weile her.

> Auch nicht zu unterschätzen ist die Tatsache, daß loop-AES 2.2, 2.4 und
> 2.6er-Kernel unterstützt. (Bei 2.2ern bin ich mir nicht zu 100% sicher.)

Da wir (=ROCK Linux) 2.2 schon lange nicht mehr und 2.4 bald nicht mehr
unterstuetzen ist das erstmal Nebensache.

> Ich habe jetzt nicht nachgesehen, aber der neueste 2.6er Kernel ist doch
> sicherlich neuer als 10. April diesen Jahres? Falls ja, nehme ich mal an,
> daß Jari daß entsprechende Makefile so weit angepaßt hat, daß es nahezu
> unabhängig von der Kernel-Version ist. Vielleicht hängt daß auch nur damit
> zusammen, daß ich schon öfter gelesen habe, daß loop.c komplett aus dem
> Kernel fliegen soll und deshalb an dieser Baustelle keine Änderungen mehr
> gemacht werden.

Ja, aber das Ganze dann sauber einzupassen, bedeutet immer den Kernel zweimal
auspacken, loop.c loeschen, neue loop.c rein, diff, alten patch ersetzen, patch
gegen patch schicken. Das war mir irgendwann einfach zu aufwaendig.

> Aber ganz unabhängig davon: Wenn du ein Exploit im Kernel hast, hast du doch
> mit allen Crypto-Systemen ein Problem.
> 
> Oder meintest du das jetzt in bezug auf: "loop-AES baut nicht mit neuem
> Kernel"? Naja, zur Not halt noch 'nen UML-Kernel aus älteren Sourcen bauen
> und dann NFS oder sowas, bis es wieder klappt... :)

Ja, das meinte ich.

> Gut, da ich bis jetzt aus Mangel an 'nem Testrechner das ganze noch nicht
> wirklich praktisch durchgespielt habe, kann ich nicht genau sagen, wie das
> mit den Wartezeiten in der Vergangenheit war, bis loop-AES wieder baute. Mir
> kam es jedenfalls beim Lesen der Mailingliste so vor, als sei das doch
> innerhalb sehr weniger Tage passiert.

Naja, es war mal soweit, dass Clifford mir androhte, loop-aes aus ROCK zu
schmeissen wenn es nicht bald wieder funktioniert. Zum Glueck kam dann zwei,
drei Tage spaeter ein neues loop-aes raus.

> Ich glaube, in der nächsten Version der loop-AES README kommt ein Beispiel
> hinein, wie man ganz auf Partitionstabellen o. ä. verzichten kann. Alle
> relevanten Daten (siehe offset= Mount-Option) kann z. B. in die fstab oder,
> falls ein Script die zugrundeliegenden loops per losetup aufsetzt, dann
> dahinein.

Wir sollten mal auf Lutz Vortrag demnaechst warten. Hoffe, er bringt da was dran.

>>Ich moechte mich jetzt lieber nicht ueber Joerg unterhalten. Es fliegt
>>schon genug Flamebait rum :-)
> 
> :^) Ich erinnere mich da an einen Mittwoch (?) Abend vor dem CLT2006 in der
> c-base...

Ooooooh, ja....

> Aber hast du das jetzt als Geflame aufgefaßt? Das sollte es eigentlich nicht

Noe, das nicht. War als Humor gemeint :-)

> PS: Warum sind meine Umlaute und ß (sz) bei dir eigentlich Fragezeichen? Ich
> habe gerade nochmal nachgeschaut, aber mein mutt hat richtigerweise
> Content-Type: text/plain; charset=iso-8859-1
> gesetzt. Liegt es vielleicht an
> Content-Transfer-Encoding: 8bit
> X-MIME-Autoconverted: from quoted-printable to 8bit by gnu.in-berlin.de id
> k5EB ?
> (Gut, daß ich mir nochmal 'ne Kopie von der ML schicken lasse.) Denn bei mir:
> Content-Transfer-Encoding: quoted-printable

Ich nutze mutt + vim, das Ganze in nem screen und ueber PuTTY. Irgendwo ist da
wohl was verloren gegangen :-)


Gruesse,
	Benjamin

- --
Benjamin 'blindCoder' Schieder
Registered Linux User #289529: http://counter.li.org
finger blindcoder at scavenger.homeip.net | gpg --import
- --
/lusr/bin/brain: received signal: SIGIDIOT
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFEkF/Cr0OTeImXvg8RAr4XAKCxHMVMHwM7nX84rG/7Y4Gwh4sf7wCdFtWv
V7mETOfvRGkoA7F9n0f/kJ0=
=N8eA
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste linux-l