[linux-l] quick-&-dirty-Lösung für Festplattenverschlüsselung

Benjamin Schieder blindcoder at scavenger.homeip.net
Di Jun 13 20:57:17 CEST 2006


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Mike Dornberger wrote:
> Hallo,
> 
> On Tue, Jun 13, 2006 at 07:04:19PM +0200, Olaf Radicke wrote:
> 
>>Ich habe das Problem, ca. 100G Daten auf einer Festplatte zu haben die ich 
>>beim runterfahren lieber verschlüsselt wissen will. Ich habe keine 
>>Möglichkeit, die Daten auszulagern um die Partition neu zu formatieren und 
>>als verschlüsseltes Dateisystem einzuhängen und die Daten wieder 
>>einzuspielen.
> 
> 
> ich verstehe erstmal nicht ganz, was du meinst, aber naja, ich versuch's
> trotzdem mal.
> 
> Alle Möglichkeiten beziehen sich nur darauf, daß die Daten bei
> ausgeschaltetem Computer verschlüsselt sind. An einigen Stellen kann man
> evt. Paßphrasen/Keys aus z. B. unverschlüsselten Auslagerungsdateien
> (Windows) oder swap-Partitionen entnehmen; beachte auch: Suspend-to-Disk.
> 
> Sobald ein System eingeschaltet und die verschlüsselten Daten gemountet
> sind, braucht es nur einen Virus/Trojaner/whatever mit Backdoor/Keylogger/
> whatever und ein Angreifer kann die Daten mit hoher Wahrscheinlichkeit "ganz
> normal" mitlesen.
> 
> I)
> 
> Die Festplatte ist nicht wesentlich größer als 100GB und nahezu voll mit
> Daten, die sich nahezu gar nicht komprimieren lassen.
> 
> Du setzt Linux als Betriebssystem ein.
> 
> Lösung:
> 
> Benutz' loop-AES und lies die README:
> http://loop-aes.sourceforge.net/loop-AES.README
> 
> Es gibt ein Zusatzprogramm namens aespipe, was die Daten der Partition
> liest, entsprechend deinen Wünschen verschlüsselt und auf die Platte
> schreibt. Dabei sollte unter gar keinen Umständen der Strom ausfallen o. ä.,
> da die unverschlüsselten Daten direkt überschrieben werden. Wie es genau
> geht, steht in der README. Alternativ auch nochmal auf linux-crypto
> nachfragen: http://mail.nl.linux.org/linux-crypto/

Man will kein loop-aes. Man will dm-crypt.
Vorteile von dm-crypt: Ist in Vanilla Linux Kernel integriert. Muss man nicht
jedesmal reinpatchen. Muss man auch nicht alle drei micro-Versionen nen neuen
Patch suchen.

Desweiteren laesst sich mit http://shellscripts.org/project/dmscripts ein
Dateisystem run-time (also _nachdem_ Daten drauf sind, bitte trotzdem umount
anwenden!) verschluesseln.

dmencrypt.sh /dev/hdfoo42
dmmount.sh /dev/hdfoo42 /mnt/23
dmumount.sh /mnt/23

Gehts einfacher? Wenn ja, dann bitte mitteilen!


Gruesse,
	Benjamin

- --
#!/bin/sh #!/bin/bash #!/bin/tcsh #!/bin/csh #!/bin/kiss #!/bin/ksh
#!/bin/pdksh #!/usr/bin/perl #!/usr/bin/python #!/bin/zsh #!/bin/ash

Feel at home? Got some of them? Want to show some magic?

	http://shellscripts.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFEjwqMr0OTeImXvg8RAosSAKCFwCMmSZA60n8nPCBtwBOD4aYArgCgrajW
2kYQC1xGmqrwP/Znv4XjgYk=
=sV9C
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste linux-l