[linux-l] quick-&-dirty-Lösung für Festplattenverschlüsselung
Benjamin Schieder
blindcoder at scavenger.homeip.net
Di Jun 13 20:57:17 CEST 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Mike Dornberger wrote:
> Hallo,
>
> On Tue, Jun 13, 2006 at 07:04:19PM +0200, Olaf Radicke wrote:
>
>>Ich habe das Problem, ca. 100G Daten auf einer Festplatte zu haben die ich
>>beim runterfahren lieber verschlüsselt wissen will. Ich habe keine
>>Möglichkeit, die Daten auszulagern um die Partition neu zu formatieren und
>>als verschlüsseltes Dateisystem einzuhängen und die Daten wieder
>>einzuspielen.
>
>
> ich verstehe erstmal nicht ganz, was du meinst, aber naja, ich versuch's
> trotzdem mal.
>
> Alle Möglichkeiten beziehen sich nur darauf, daß die Daten bei
> ausgeschaltetem Computer verschlüsselt sind. An einigen Stellen kann man
> evt. Paßphrasen/Keys aus z. B. unverschlüsselten Auslagerungsdateien
> (Windows) oder swap-Partitionen entnehmen; beachte auch: Suspend-to-Disk.
>
> Sobald ein System eingeschaltet und die verschlüsselten Daten gemountet
> sind, braucht es nur einen Virus/Trojaner/whatever mit Backdoor/Keylogger/
> whatever und ein Angreifer kann die Daten mit hoher Wahrscheinlichkeit "ganz
> normal" mitlesen.
>
> I)
>
> Die Festplatte ist nicht wesentlich größer als 100GB und nahezu voll mit
> Daten, die sich nahezu gar nicht komprimieren lassen.
>
> Du setzt Linux als Betriebssystem ein.
>
> Lösung:
>
> Benutz' loop-AES und lies die README:
> http://loop-aes.sourceforge.net/loop-AES.README
>
> Es gibt ein Zusatzprogramm namens aespipe, was die Daten der Partition
> liest, entsprechend deinen Wünschen verschlüsselt und auf die Platte
> schreibt. Dabei sollte unter gar keinen Umständen der Strom ausfallen o. ä.,
> da die unverschlüsselten Daten direkt überschrieben werden. Wie es genau
> geht, steht in der README. Alternativ auch nochmal auf linux-crypto
> nachfragen: http://mail.nl.linux.org/linux-crypto/
Man will kein loop-aes. Man will dm-crypt.
Vorteile von dm-crypt: Ist in Vanilla Linux Kernel integriert. Muss man nicht
jedesmal reinpatchen. Muss man auch nicht alle drei micro-Versionen nen neuen
Patch suchen.
Desweiteren laesst sich mit http://shellscripts.org/project/dmscripts ein
Dateisystem run-time (also _nachdem_ Daten drauf sind, bitte trotzdem umount
anwenden!) verschluesseln.
dmencrypt.sh /dev/hdfoo42
dmmount.sh /dev/hdfoo42 /mnt/23
dmumount.sh /mnt/23
Gehts einfacher? Wenn ja, dann bitte mitteilen!
Gruesse,
Benjamin
- --
#!/bin/sh #!/bin/bash #!/bin/tcsh #!/bin/csh #!/bin/kiss #!/bin/ksh
#!/bin/pdksh #!/usr/bin/perl #!/usr/bin/python #!/bin/zsh #!/bin/ash
Feel at home? Got some of them? Want to show some magic?
http://shellscripts.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
iD8DBQFEjwqMr0OTeImXvg8RAosSAKCFwCMmSZA60n8nPCBtwBOD4aYArgCgrajW
2kYQC1xGmqrwP/Znv4XjgYk=
=sV9C
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste linux-l