[linux-l] quick-&-dirty-Lösung für Festplattenverschlüsselung

[Christoph Biedl]

Volker Grabsch wrote...

> Kurz vor Ablauf des Vertrages versetze ich deshalb das System in den
> Recovery-Modus, und lasse
> 
>     dd if=/dev/urandom of=/dev/hda &
> 
> durchnudeln. Natürlich kontrolliere ich zwischendurch die
> Geschwindigkeit (d.h. ich breche den Befehl nach 1min ab, schaue
> mir an, wieviel übertragen wurde, und starte ihn dann nochmal)
> .... um sicherzugehen, dass er auch wirklich in den nächsten 8 Stunden
> fertig wird, nicht erst in der nächsten Woche. :-)
> 
> Natürlich könnte ich auch /dev/null nehmen, aber /dev/urandom erscheint
> mir irgendwie sicherer. Liege ich damit richtig?

Ich persönlich finde es übertrieben. Schon nach einem einfachen
Überschreiben der Daten ist der Aufwand zur Wiederherstellung sehr hoch.
Paranoide sehen natürlich die Schlapphüte, die weder Mühen noch Kosten
scheuen, aber besonders realistisch ist das nicht. Wenn Du in diese
Richtung abzielst, dann signalisieren Nullen: "Platte wurde gelöscht,
laßt uns nach Restmagnetisierung[1] suchen", Zufallsdaten hingegen "Der
hat gecryptet[2], also suchen wir mal den Key.". Was als nächstes
passiert, überlasse ich Deiner Fantasie.

Mir selber reicht ein einfaches dd oder badblocks -svw.

> (Die Zeit für einen whiptail habe ich natürlich nicht, zumal es nicht
> darum geht, sich vor Festplatten-Forensik zu schützen. ;-)

Eben. /dev/urandom ist nämlich außerdem ziemlich teuer.

    Christoph

[1] Irgendwo hörte ich mal, daß das mit der Restmagnetisierung (die
    letzten n Zustände seien noch auslesbar, mit n zwischen 1 und 10),
    ganz großer Humbug wäre. Kennt jemand Positionen für die eine oder
    andere Richtung?
[2] Eine gute Crypto unterscheidet sich bekanntlich nicht von zufälligen
    Daten.