[linux-l] quick-&-dirty-Lösung für Festplattenverschlüsselung

Mike Dornberger Mike.Dornberger at gmx.de
Di Jun 13 20:47:02 CEST 2006 

Hallo,

On Tue, Jun 13, 2006 at 07:04:19PM +0200, Olaf Radicke wrote:
> Ich habe das Problem, ca. 100G Daten auf einer Festplatte zu haben die ich 
> beim runterfahren lieber verschlüsselt wissen will. Ich habe keine 
> Möglichkeit, die Daten auszulagern um die Partition neu zu formatieren und 
> als verschlüsseltes Dateisystem einzuhängen und die Daten wieder 
> einzuspielen.

ich verstehe erstmal nicht ganz, was du meinst, aber naja, ich versuch's
trotzdem mal.

Alle Möglichkeiten beziehen sich nur darauf, daß die Daten bei
ausgeschaltetem Computer verschlüsselt sind. An einigen Stellen kann man
evt. Paßphrasen/Keys aus z. B. unverschlüsselten Auslagerungsdateien
(Windows) oder swap-Partitionen entnehmen; beachte auch: Suspend-to-Disk.

Sobald ein System eingeschaltet und die verschlüsselten Daten gemountet
sind, braucht es nur einen Virus/Trojaner/whatever mit Backdoor/Keylogger/
whatever und ein Angreifer kann die Daten mit hoher Wahrscheinlichkeit "ganz
normal" mitlesen.

I)

Die Festplatte ist nicht wesentlich größer als 100GB und nahezu voll mit
Daten, die sich nahezu gar nicht komprimieren lassen.

Du setzt Linux als Betriebssystem ein.

Lösung:

Benutz' loop-AES und lies die README:
http://loop-aes.sourceforge.net/loop-AES.README

Es gibt ein Zusatzprogramm namens aespipe, was die Daten der Partition
liest, entsprechend deinen Wünschen verschlüsselt und auf die Platte
schreibt. Dabei sollte unter gar keinen Umständen der Strom ausfallen o. ä.,
da die unverschlüsselten Daten direkt überschrieben werden. Wie es genau
geht, steht in der README. Alternativ auch nochmal auf linux-crypto
nachfragen: http://mail.nl.linux.org/linux-crypto/

II)

Du hast wenigstens noch genau so viel Platz auf der Platte, wie du Daten
hast.

Lösung:

Verkleinere die Partition mit den Daten und lege eine neu an, die du dann
mit einem beliebigen Programm verschlüsselst (Truecrypt gibt es für Linux
und Windows; loop-AES bleibt meiner Meinung nach aber trotzdem erste Wahl).

Falls die Daten-Partition, um die es geht NTFS ist, weiß ich nicht genau,
wie da mittlerweile Open-Source-Partitionierungsprogramme mit umgehen
können. Alternativ frage mal nach, wer PartitionMagic hat. Ab Version 8.0
funktioniert das auch mit den "neueren" Version von NTFS (Win2k und XP) und
gibt es auch ein Programm/Diskette dazu, die man von einem DOS aus benutzen
kann.

Nach dem herüberkopieren kannst du die unverschlüsselte Partition löschen.
Dann entweder auf diesem Platz eine zusätzliche neue, verschlüsselte anlegen
oder die andere Verschieben und Vergrößern. Bei letzterem kann es u. U.
Probleme geben, da meist die Sektornummer mit in die Verschlüsselung
einfließt. Ich glaube, bei loop-AES kann man das Problem umgehen.

Was ich fast vergessen hätte, du kannst natürlich auch einen Datei-basierten
(verschlüsselten) Container anlegen, den du dann mountest und die Daten da
hineinkopierst. Aber hier weiß ich auch nicht, wie es unter den
verschiedenen Systemen mit Vergrößerung des Containers aussieht. Auch hier
bin ich mir aber ziemlich sicher, daß das mit loop-AES machbar ist. (Evt.
kann man sogar mit loop-AES ganz am Schluß vom datei- zum
partitionsbasierten System wechseln, was nach Ansicht von loop-AES Autor
sicherer ist, da nur dort journaling sinnvoll ist.)

III)

Du setzt Windows (mit NTFS) ein und hast nicht mehr genug Platz auf der
Platte für die Resize-Methode (II).

Lösung:

Du mußt zuerst Daten löschen.

Falls möglich, brenne wichtige Sachen weg. Dazu z. B. einen 4.3G Container
mit Truecrypt anlegen, da die Daten reinschmeißen, den dann wegbrennen (z.
B. auf RW-Medien). Dabei ist die Empfehlung von Leuten, die sich damit
befaßt haben: Für jedes Medium einen anderen Key benutzen.

Und/oder: Du hast irgendwo ein paar GB Platz, die du per ssh/ftp/whatever
erreichen kannst.

Z. B. mittels cygwin tar durch gpg durch scp pipen.

Achja: Auch hier fällt mir noch ein: Falls (z. B.) Truecrypt das Vergrößern
seiner dateibasierten Container unterstützt, kannst du das natürlich auch
sukzessive so machen. Dauert dann eben aber eine ganze Weile und das mußt du
wahrscheinlich händisch machen.

------

Sicherlich gibt es wohl noch mehr Methoden, aber mehr fällt mir auf die
Schnelle nicht ein.

Achso: Alles (von mir) ungetestet!

Gruß,
 Mike

Mehr Informationen über die Mailingliste linux-l