[linux-l] aesloop root filesystem encryption
Jan-Benedict Glaw
jbglaw at lug-owl.de
Mi Mai 5 13:57:05 CEST 2004
On Wed, 2004-05-05 13:25:44 +0100, Christian Jacken <antispam308-belug.de at jacken.de>
wrote in message <4098DD48.9010809 at jacken.de>:
> hat jemand von Euch Erfahrung mit root file system encryption mit aesloop?
>
> Leider sind bislang meine Versuche fehlgeschlagen, dies vollständig zum
> Laufen zu bringen.
Nur als Tip: Momentan werden unter Linux mehrere Varianten
verschlüsselter Dateisysteme benutzt:
- cryptoloop
- aesloop
- dm-crypto
- einfache gnupg-verschlüsselte Datei, die ggf zur Benutzung
wieder entschlüsselt wird
Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
einsetzen...)
> Als Distribution ziehe ich Debian vor.
Damit habe ich z.B. md -> lvm2 -> dm-crypro am Laufen. Keine Probleme
dabei:)
> Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
> auch bereit über eine Aufwandsentschädigung zu reden.
Das ganze ist recht simpel aufzusetzen, siehe
http://www.saout.de/misc/dm-crypt/ . Als Minimal-Anleitung:
echo 0 `blockdev --getsize /dev/hda5` crypt aes-plain 0123456789abcdef0123456789abcdef 0 /dev/hda5 0 | dmsetup create volume1
Hinweise:
- /dev/hda5 soll hier verschlüsselt benutzt werden.
- aes-plain wird benutzt (Linux'sche Crypto-API).
- 0123..def ist der key; als IV wird IIRC die Sektor-Nummer
relativ zum Start des Devices benutzt.
- "volume1" (als /dev/mapper/volume1) kann hinterher formatiert
und gemounted werden - dieses ist die unverschlüsselte
Version, /dev/hda5 beinhaltet nun nur noch verschlüsselte
Daten.
> P.S. Ich war ziemlich erstaunt daß man Microsofts EFS (Encrypting File
> System) zumindest unter Windows 2000 leicht mit einem Utility von
> www.lostpassword.com aushebeln kann (habe Datei mit 128bit-EFS
> verschlüsselt, Festplatte an anderes Windows 2000-System angeschlossen
> und konnte die Datei mit dem Utility ohne Kennwort binnen Minuten
> entschlüsseln). Und das obwohl Windows 2000 *inkl. EFS* als einziges OS
> nach Common Criteria EAL 4 [http://niap.nist.gov/cc-scheme] zertifiziert
> ist. Falls zufällig jemand Lust hat, es mit Windows xp Professional oder
> 2000 Server zu probieren, wäre ich am Ergebnis interessiert.
Hast Du erwartet, daß da etwas implementiert wird, das die NSA nicht
innerhalb von Sekunden aushebeln kann? Blauäugig 8^)
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg
fuer einen Freien Staat voll Freier Bürger" | im Internet! | im Irak!
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040505/8e13285e/attachment.sig>
Mehr Informationen über die Mailingliste linux-l