[linux-l] aesloop root filesystem encryption

[Christian Jacken]

Hallo,

ich habe vor einigen Monaten intensiv recherchiert. Auch mit loop-aes 
sind Partitionen größer als 2GB möglich. Und loop-aes soll deutlich 
schneller als cryptoloop sein (wegen Optimierung für i386, was bei 
großen Datenmengen schon viel an der Gesamtsystemgeschwindigkeit 
ausmachen soll). Wer hat hierzu Erfahrung?

Beim letzten Chaos Communication Congress wurde erwähnt, daß man 
irgendwie auch 2 Algorithmen gleichzeitig verwenden kann, weiß jemand 
wie das geht?

[JBG]
> Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
> überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
> einsetzen...)

Was spricht noch dagegen?

>>Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
>>auch bereit über eine Aufwandsentschädigung zu reden.
> Das ganze ist recht simpel aufzusetzen, siehe
> http://www.saout.de/misc/dm-crypt/ .

Wenn das root fs auch verschlüsselt werden soll (darauf lege ich 
ebenfalls sehr viel Wert, werde anschließend nur von read-only-media 
(CD) booten) ist es nicht so einfach. Ich fühle mich jedenfalls damit 
derzeit überfordert. Wer würde mir IRL helfen (vielleicht am 
Wochenende)? Im Rahmen der BELUG-Treffen haben wir es schon probiert. 
Auf seinem eigenen Rechner laufen hatte es keiner. Wir blieben dann 
immer irgendwo stecken oder die Zeit reichte nicht.

>>P.S. Ich war ziemlich erstaunt daß man Microsofts EFS (Encrypting File
>>System) zumindest unter Windows 2000 leicht mit einem Utility von
>>www.lostpassword.com aushebeln kann (...)
> Hast Du erwartet, daß da etwas implementiert wird, das die NSA nicht
> innerhalb von Sekunden aushebeln kann? Blauäugig 8^)

Wenn etwas für die NSA in Sekunden aushebelbar sein soll, muß es noch 
lange nicht für Nutzer gewöhnlicher Hardware und Utilities aushebelbar 
sein. So blauäugig ist Microsoft i.d.R. wieder auch nicht. Ich glaube 
jedenfalls nicht, daß diese peinliche Schwachstelle Absicht war.

Christian