[linux-l] LVM und Verschlüsselung

Steffen Schulz pepe_ml at gmx.net
Do Jan 3 13:41:09 CET 2008 

On 080103 at 02:13, Olaf Radicke wrote:
> Ich hatte bei der Debian-Installation Verschlüsseltes Datei-System auf LVM 
> ausgewählt. Soweit - so gut. Jetzt habe ich eine weitere Festplatte mit dem 
> Tool system-config-lvm zum LV hinzugefügt. Auch alles soweit so gut. Jetzt 
> frage ich mich aber ob das als verschlüsseltes ext2 läuft oder 
> unverschlüsselt. Wie finde ich das denn raus. Mit  system-config-lvm kann man 
> das nicht zweifelsfrei erkennen. Wenn ich ubuntu im Live-Modus starte, kann 
> ich die LV's nicht erreichen, aber ob das jetzt der ultimative Test 
> war... :-)

Bei mir sieht das so aus:

 #df -h
 [...]
 /dev/mapper/vger-home_crypt
                       153G  123G   31G  81% /home

Wird gemounted von cryptdisk in init.d, welches, wenn man mal
nachschaut, /etc/crypttab benutzt:

 #grep home_crypt /etc/crypttab 
 vger-home_crypt /dev/mapper/vger-home none luks

Damit weiss ich, wo Klartext und Ciphertext zu finden sein muessten:

 # head -10 /dev/mapper/vger-home_crypt |file -
 /dev/stdin: SGI XFS filesystem data (blksz 4096, inosz 256, v2 dirs)

 # head -10 /dev/mapper/vger-home |file -
 /dev/stdin: LUKS encrypted file, ver 1 [aes, cbc-essiv:sha256, sha1]


Wenn cryptdisks beim booten nicht erfolgreich die Platte mounten kann,
ist nur vger-home sichtbar. File hat dort eine LUKS-Partition erkannt.
Steht also was drin. Kann man ja mal reingucken:

 # head -200 /dev/mapper/vger-home |hexdump -C|less

Da ist am Anfang ein Header, der auch auf der Homepage dokumentiert
ist. Mit Muehe kann man dort sogar lesen, wo der Key abgelegt ist und
wo Salt und Kontrollwerte fuer Passwort/Key liegen. Dann kommt
irgendwann nur noch Datenmuell.

Wenn das nicht reicht, kann man mit Strings auf der Klartextpartition
Inhalte finden, auf der Ciphertextpartition dagegen nichts
augenscheinlich relevantes:

 # head -200 /dev/mapper/vger-home       |strings -n 10
 # head -200 /dev/mapper/vger-home_crypt |strings -n 10


Die einfachste Form der statistischen Analyse, die mir jetzt mit der
shell einfaellt, waere gzip. Die crypto-partition sollte sich sehr
schlecht komprimieren lassen, denn die Daten dort sollten *sehr* wenig
Struktur haben. Mit der Klartext-Partition wird das viel besser
gehen(ausser du hast nur komprimierte Daten gespeichert, avi und mp3
und so).

Wenn du dem Braten jetzt noch immer nicht traust, kannst du eigentlich
nur noch das Programm analysieren, dass den Klartext verschluesselt.


LUKS ist meines Wissens das Format der Wahl und wurde auch mal von
Leuten mit Ahnung inspiziert. Hat generell besseres Key-Management als
die bisherigen Varianten.

Es gibt inzwischen auch Verschluesselungsmodi, die speziell fuer
Festplattenverschluesselung entwickelt sind:

http://en.wikipedia.org/wiki/Disk_encryption_theory


mfg
pepe
-- 
Um sich in einer Schafherde wohlzufühlen, muss man vor allem Schaf sein.

Mehr Informationen über die Mailingliste linux-l