[linux-l] aesloop root filesystem encryption

Jan-Benedict Glaw jbglaw at lug-owl.de
Mi Mai 5 13:57:05 CEST 2004 

On Wed, 2004-05-05 13:25:44 +0100, Christian Jacken <antispam308-belug.de at jacken.de>
wrote in message <4098DD48.9010809 at jacken.de>:
> hat jemand von Euch Erfahrung mit root file system encryption mit aesloop?
> 
> Leider sind bislang meine Versuche fehlgeschlagen, dies vollständig zum
> Laufen zu bringen.

Nur als Tip: Momentan werden unter Linux mehrere Varianten
verschlüsselter Dateisysteme benutzt:

	- cryptoloop
	- aesloop
	- dm-crypto
	- einfache gnupg-verschlüsselte Datei, die ggf zur Benutzung
	  wieder entschlüsselt wird

Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
einsetzen...)

> Als Distribution ziehe ich Debian vor.

Damit habe ich z.B. md -> lvm2 -> dm-crypro am Laufen. Keine Probleme
dabei:)

> Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
> auch bereit über eine Aufwandsentschädigung zu reden.

Das ganze ist recht simpel aufzusetzen, siehe
http://www.saout.de/misc/dm-crypt/ .  Als Minimal-Anleitung:

echo 0 `blockdev --getsize /dev/hda5` crypt aes-plain 0123456789abcdef0123456789abcdef 0 /dev/hda5 0 | dmsetup create volume1

Hinweise:

	- /dev/hda5 soll hier verschlüsselt benutzt werden.
	- aes-plain wird benutzt (Linux'sche Crypto-API).
	- 0123..def ist der key; als IV wird IIRC die Sektor-Nummer
	  relativ zum Start des Devices benutzt.
	- "volume1" (als /dev/mapper/volume1) kann hinterher formatiert
	  und gemounted werden - dieses ist die unverschlüsselte
	  Version, /dev/hda5 beinhaltet nun nur noch verschlüsselte
	  Daten.

> P.S. Ich war ziemlich erstaunt daß man Microsofts EFS (Encrypting File
> System) zumindest unter Windows 2000 leicht mit einem Utility von
> www.lostpassword.com aushebeln kann (habe Datei mit 128bit-EFS
> verschlüsselt, Festplatte an anderes Windows 2000-System angeschlossen
> und konnte die Datei mit dem Utility ohne Kennwort binnen Minuten
> entschlüsseln). Und das obwohl Windows 2000 *inkl. EFS* als einziges OS
> nach Common Criteria EAL 4 [http://niap.nist.gov/cc-scheme] zertifiziert
> ist. Falls zufällig jemand Lust hat, es mit Windows xp Professional oder
> 2000 Server zu probieren, wäre ich am Ergebnis interessiert.

Hast Du erwartet, daß da etwas implementiert wird, das die NSA nicht
innerhalb von Sekunden aushebeln kann? Blauäugig 8^)

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
   ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040505/8e13285e/attachment.sig>

Mehr Informationen über die Mailingliste linux-l