[linux-l] aesloop root filesystem encryption
Christian Jacken
antispam308-belug.de at jacken.de
Do Mai 6 05:07:53 CEST 2004
Hallo,
ich habe vor einigen Monaten intensiv recherchiert. Auch mit loop-aes
sind Partitionen größer als 2GB möglich. Und loop-aes soll deutlich
schneller als cryptoloop sein (wegen Optimierung für i386, was bei
großen Datenmengen schon viel an der Gesamtsystemgeschwindigkeit
ausmachen soll). Wer hat hierzu Erfahrung?
Beim letzten Chaos Communication Congress wurde erwähnt, daß man
irgendwie auch 2 Algorithmen gleichzeitig verwenden kann, weiß jemand
wie das geht?
[JBG]
> Ich wage mal zu behaupten, daß nur dm-crypto die nächsten zwei Jahre
> überleben wird. (Um das zu benutzen, muß man allerdings 2.6.x
> einsetzen...)
Was spricht noch dagegen?
>>Da das Ganze doch etwas zeitaufwendig und mir sehr wichtig ist, bin ich
>>auch bereit über eine Aufwandsentschädigung zu reden.
> Das ganze ist recht simpel aufzusetzen, siehe
> http://www.saout.de/misc/dm-crypt/ .
Wenn das root fs auch verschlüsselt werden soll (darauf lege ich
ebenfalls sehr viel Wert, werde anschließend nur von read-only-media
(CD) booten) ist es nicht so einfach. Ich fühle mich jedenfalls damit
derzeit überfordert. Wer würde mir IRL helfen (vielleicht am
Wochenende)? Im Rahmen der BELUG-Treffen haben wir es schon probiert.
Auf seinem eigenen Rechner laufen hatte es keiner. Wir blieben dann
immer irgendwo stecken oder die Zeit reichte nicht.
>>P.S. Ich war ziemlich erstaunt daß man Microsofts EFS (Encrypting File
>>System) zumindest unter Windows 2000 leicht mit einem Utility von
>>www.lostpassword.com aushebeln kann (...)
> Hast Du erwartet, daß da etwas implementiert wird, das die NSA nicht
> innerhalb von Sekunden aushebeln kann? Blauäugig 8^)
Wenn etwas für die NSA in Sekunden aushebelbar sein soll, muß es noch
lange nicht für Nutzer gewöhnlicher Hardware und Utilities aushebelbar
sein. So blauäugig ist Microsoft i.d.R. wieder auch nicht. Ich glaube
jedenfalls nicht, daß diese peinliche Schwachstelle Absicht war.
Christian
Mehr Informationen über die Mailingliste linux-l