Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Tip: DM-Crypt verschlüsseln der Festplatte
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page 1, 2  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Fri Apr 23, 2004 6:25 pm    Post subject: Tip: DM-Crypt verschlüsseln der Festplatte Reply with quote

Nachdem cryptoloop aus dem Kernel verschwinden soll und die Implementierung sowieso als problematisch gilt habe dem DM-Crypt installiert und eine Platte mit AES verschlüsselt.

Das Prinzip ist folgendes:

[Filesystem]<->[Device-Mapper]<->[Partition-Device]
........................ ^ ^
........................ | |
........................ v v
......................[ AES, Blowfish ...]

Man legt mit Cryptsetup ein Mapper-Dev (AES-verschlüssselt) an z.B. für /dev/hdf7:

#> cryptsetup -y create "hdf7" "/dev/hdf"
Password: .......

Anschliessend das Filesystem einrichten:
#> mkreiserfs /dev/mapper

Es ist allerdings für eine opt. Sicherheit besser die Partition mit mit Zufallswerten zu beschreiben.

Anschliessend Partition mounten:
#>mount -t reiserfs /dev/mapper /mnt/cryptoplatte

Das wars.... nein, es fehlt noch das Init-Skript:
---- CUT -----
#!/sbin/runscript

dmcryptconf="/etc/conf.d/dm-crypt"

dmapper() {
/sbin/cryptsetup $1 $2 $3
}

depend() {
need checkroot modules
need localmount
provide dmcrypt
}

start() {
ebegin "Starting device mapper and mount crypto device"

if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}

local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"
if [ "${configured}" != "yes" ]
then
if ! dmapper status ${dmname} | grep "inactive" > /dev/null
then
eend 1 "dev-map ${dmname} at ${dmmap} already exists!"
else
einfo "map dev-map ${dmname} on ${dmmap}"
if ! dmapper create ${dmname} ${dmmap}
then
eend 1 "Can't setup dev-map ${dmname} on ${dmmap}"
else
einfo "mount /dev/mapper/${dmname}"
if ! mount /dev/mapper/${dmname} ${dmdir}
then
dmapper remove ${dmname}
eend 1 "Can't mount /dev/mapper/${dmname} to ${dmdir}!"
else
eend 0
fi
fi
fi
else
eend 1 "crypto harddisk already configured"
fi
done
fi

eend $?
}

stop() {
ebegin "Stopping device mapping(s) and unmount cryptodevice(s)"
if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}

local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"

if [ "${configured}" == "yes" ]
then
umount ${dmdir}
dmapper remove ${dmname}
else
eend 1 "dev-map is not configured"
fi
done
fi

eend $?
}

---- CUT -----

Nun noch die Konfigurationsdatei für belieg viele Mapping:
---- CUT -----
# /etc/conf.d/dm-crypt:


# Specify dm-crypt configurations here. The format of this file is
# shown in the following commented-out example. One line per mapping
# configuration.

dmmap=/dev/hdf7 dmname=hdf7 dmdir=/mnt/cryptoplatte
---- CUT -----

Und wer mit mldonkey arbeitet kann dann noch in dessen Init-Skript in der Funkftion depend() eintragen:

---- CUT -----
need dmcrypt
---- CUT -----

Doc Funfrock
Back to top
View user's profile Send private message
Lenz
Veteran
Veteran


Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]

PostPosted: Fri Apr 23, 2004 7:06 pm    Post subject: Reply with quote

Muss man dann beim Mounten immer ein Passwort eingeben oder wie funktioniert das?
_________________
.:: Lenz' Signature 1.7b ::.

| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~
Back to top
View user's profile Send private message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Fri Apr 23, 2004 8:45 pm    Post subject: Reply with quote

Lenz wrote:
Muss man dann beim Mounten immer ein Passwort eingeben oder wie funktioniert das?

Ja, oder du holst dir das Passwort aus einer Datei.

Die Reihenfolge ist so:

1) Device auf Mapper-Dev mappen und Passwort angeben (Init-Skript)
2) Mapper-Dev mounten
Back to top
View user's profile Send private message
Lenz
Veteran
Veteran


Joined: 17 Jul 2003
Posts: 1439
Location: Marburg [HE, D, EU]

PostPosted: Fri Apr 23, 2004 9:40 pm    Post subject: Reply with quote

Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre...
Ideal wäre. wenn man das verschlüsseln könnte, sodass er, sobald man "mount /mnt/cryptodrive" eingibt, nach dem Passwort fragt. Wäre sowas theoretisch bzw. auch praktisch möglich?

-- Lenz
_________________
.:: Lenz' Signature 1.7b ::.

| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~
Back to top
View user's profile Send private message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Fri Apr 23, 2004 10:02 pm    Post subject: Reply with quote

Lenz wrote:
Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre...
Ideal wäre. wenn man das verschlüsseln könnte, sodass er, sobald man "mount /mnt/cryptodrive" eingibt, nach dem Passwort fragt. Wäre sowas theoretisch bzw. auch praktisch möglich?

-- Lenz


Ja, wenn du z.B.

#>/etc/init.d/dm-crypt start

eintippelst, dann geschieht das von "Hand". Das von mir vorgeschlagene Skript mountet auch die Partition. Und wenn du das configfile entsprechend pflegst, auch alle eingetragenen Partitionen auf einmal.
Back to top
View user's profile Send private message
Dellerium
n00b
n00b


Joined: 04 Nov 2002
Posts: 69

PostPosted: Sat Apr 24, 2004 7:11 am    Post subject: Reply with quote

Ich habe mal ne Frage dazu .. das sieht mir sehr ähnlich zu Loop AES aus ... ist der einzige Vorteil in Zukunft der, das der Device Mapper in Zukunft gleich im Kernel drin ist, während man für Loop AES extra nen KernelModul kompilieren muss ? Oder gibt es noch mehr Vorteile ?

ps.: Ich hab Loop AES im Einsatz .. deshalb frage ich ;)
Back to top
View user's profile Send private message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Sat Apr 24, 2004 9:39 am    Post subject: Reply with quote

Dellerium wrote:
Ich habe mal ne Frage dazu .. das sieht mir sehr ähnlich zu Loop AES aus ... ist der einzige Vorteil in Zukunft der, das der Device Mapper in Zukunft gleich im Kernel drin ist, während man für Loop AES extra nen KernelModul kompilieren muss ? Oder gibt es noch mehr Vorteile ?

ps.: Ich hab Loop AES im Einsatz .. deshalb frage ich ;)


Nachdem was ich gelesen habe ist die Implementation problematischer, weil auch z.B. die Supernode verschlüsselt wird, so das einem Known-Plaintext-Angriff nichts im Wege steht. Insgesamt scheint die Konstruktion für die Cryptoloop problematischer zu sein

Der Device-Mapper ist sauberer aufgebaut als die Loop-Devices (wird als hack bezeichnet) und flexibler, da weder Namen noch Anzahl beschränkt sind. Die Konstruktion des Scripts war tatsächlich einfacher als bei einer Cryptoloop.

Selbst Device-Resizing ist mit dem Device-Mapper einfach möglich.

Und warum sollte ich mir ein zusätzliches Modul in den Kernel holen, wenn es nicht notwendig ist?

Lese hier nach:

http://www.saout.de/misc/dm-crypt/
Back to top
View user's profile Send private message
regime
n00b
n00b


Joined: 24 Apr 2004
Posts: 2

PostPosted: Sat Apr 24, 2004 2:55 pm    Post subject: Crypto Chip auf VIA-Boards? Reply with quote

Hallo,

das mit der Verschlüsselung ist ne feine Sache, aber weiss einer von Euch, ob man den Krypto-Chip auf einem ViaM10000 Board zum laufen bekommen kann, so dass es nicht nur über die CPU geht?

Gruß
regime
Back to top
View user's profile Send private message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Sat Apr 24, 2004 4:13 pm    Post subject: Re: Crypto Chip auf VIA-Boards? Reply with quote

regime wrote:
Hallo,

das mit der Verschlüsselung ist ne feine Sache, aber weiss einer von Euch, ob man den Krypto-Chip auf einem ViaM10000 Board zum laufen bekommen kann, so dass es nicht nur über die CPU geht?

Gruß
regime


Im Prinzip bräuchtest du einen Treiber. Wenn es einen geben sollte, dann ist er bestimmt für die Cryptoloop.
Back to top
View user's profile Send private message
leuenberger
Tux's lil' helper
Tux's lil' helper


Joined: 13 Jul 2003
Posts: 147
Location: Zurich, ZH, Schweiz

PostPosted: Mon Apr 26, 2004 2:06 pm    Post subject: Reply with quote

Gibt es eine Möglichkeit Dateien zu verschlüsseln wie beim Cryptoloop? So wie im folgenden Beispiel:

Code:
> dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup -e twofish /dev/loop0 /home/raysoft/.cryptfile
Available keysizes (bits): 128 192 256
Keysize:
Passwort:
> mke2fs /dev/loop0
> losetup -d /dev/loop0


Ich habe es folgendermassen versucht:

Code:
> dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> cryptsetup -c twofish -y create test /home/raysoft/.cryptfile


Funktioniert leider nicht. Es wird ein Block-Device erwartet.

Gruss Reto
Back to top
View user's profile Send private message
leuenberger
Tux's lil' helper
Tux's lil' helper


Joined: 13 Jul 2003
Posts: 147
Location: Zurich, ZH, Schweiz

PostPosted: Mon Apr 26, 2004 2:30 pm    Post subject: Reply with quote

Ich habe es herausgefunden:

Code:
> dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup /dev/loop7 /home/raysoft/.cryptfile
> cryptsetup -c twofish -y create test /dev/loop7
Enter passphrase:
Verify passphrase:
> mke2fs /dev/loop7
> mount /dev/loop7 /mnt


Und das ganze wieder abbauen:

Code:
> umount /mnt
> cryptsetup remove test
> losetup -d /dev/loop7


Eine fstab-fähige Version habe ich noch nicht gefunden.

Gruss Reto
Back to top
View user's profile Send private message
drfunfrock
Tux's lil' helper
Tux's lil' helper


Joined: 05 Aug 2003
Posts: 114

PostPosted: Mon Apr 26, 2004 2:31 pm    Post subject: Reply with quote

leuenberger wrote:
Gibt es eine Möglichkeit Dateien zu verschlüsseln wie beim Cryptoloop? So wie im folgenden Beispiel:

Code:
> dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup -e twofish /dev/loop0 /home/raysoft/.cryptfile
Available keysizes (bits): 128 192 256
Keysize:
Passwort:
> mke2fs /dev/loop0
> losetup -d /dev/loop0


Ich habe es folgendermassen versucht:

Code:
> dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> cryptsetup -c twofish -y create test /home/raysoft/.cryptfile


Funktioniert leider nicht. Es wird ein Block-Device erwartet.

Gruss Reto


Es soll gehen, wenn man vorher ein loop-device mit der Datei verbindet, um dieses dann zu mappen :-)

Doc Funfrock
Back to top
View user's profile Send private message
MrPrez
n00b
n00b


Joined: 02 Sep 2003
Posts: 67

PostPosted: Tue Apr 27, 2004 8:50 pm    Post subject: Reply with quote

Ich habe leider festplattentechnisch nicht den Platz dazu, mich würde aber extrem die Geschwindigkeit im Gegensatz zum cryptoloop interessieren. Ich verschieb ab und an mal paar Dateien und da macht sich ein Geschwindigkeitsvorteil schon bemerkbar. Also wäre für Erfahrungsberichte sehr dankbar!
Back to top
View user's profile Send private message
ian!
Bodhisattva
Bodhisattva


Joined: 25 Feb 2003
Posts: 3829
Location: Essen, Germany

PostPosted: Tue May 18, 2004 12:45 pm    Post subject: Reply with quote

Lenz wrote:
Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre...


drfunfrock wrote:
Ja, oder du holst dir das Passwort aus einer Datei.


Kleiner Tipp hierzu am Rande: Bei einem großen Elektromarkt ("ich bin doch nicht blöd" und mache hier noch "für die Mutter aller Schnäppchen" Werbung :wink:) gibt es z. Zt. sehr günstig (~13 EUR) USB-Sticks, die sich ausgezeichnet hierfür eignen.

Nur mal so als Gedanke... :wink:
_________________
"To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins
Back to top
View user's profile Send private message
Tazok
Guru
Guru


Joined: 25 Oct 2003
Posts: 310

PostPosted: Sat Jun 19, 2004 9:42 pm    Post subject: Reply with quote

drfunfrock wrote:

Nachdem was ich gelesen habe ist die Implementation problematischer, weil auch z.B. die Supernode verschlüsselt wird, so das einem Known-Plaintext-Angriff nichts im Wege steht. Insgesamt scheint die Konstruktion für die Cryptoloop problematischer zu sein


Nur zum Verständnis: Meinst du mit Supernode den Superblock der Partition, oder liege ich da falsch?
Back to top
View user's profile Send private message
|T5|
n00b
n00b


Joined: 13 Dec 2003
Posts: 33

PostPosted: Sun Jun 20, 2004 9:35 am    Post subject: Reply with quote

ebenfalls nur zum verständnis: Ich verstehe http://kerneltrap.org/node/view/2433 so, dass dmcrypt derzeit noch voll kompatibel zu cryptoloop devices und daher auch anfällig gegen die genannten tabellenbasierten wörterbuchattacken ist. Sehe ich das richtig?
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Sun Jun 20, 2004 4:08 pm    Post subject: Reply with quote

Wer loop-aes am laufen hat, dem würd ich atm nicht empfehlen extra auf dm-crypt umzusteigen, sondern lieber noch ein paar Kernel versionen warten ;)
loop-aes scheint auch bei einigen noch ein gutes Stück schneller zu laufen als dm-crypt
Back to top
View user's profile Send private message
Baad3r
n00b
n00b


Joined: 07 Apr 2003
Posts: 22

PostPosted: Mon Jun 21, 2004 1:47 am    Post subject: Reply with quote

http://v4.livegate.net/wipe/crypto.html

Lt. diesem Review ist dm-crypt nicht wirklich sicher. Ich bin seit einiger Zeit auf der Suche nach einer guten Krypto-Lösung und werde daher wohl loop-AES mit twofish einsetzen.
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Thu Jun 24, 2004 6:37 pm    Post subject: Reply with quote

Dieses Review is imho für die Katz, das hat eher was mit Auflistung zu tun.
Lest euch nur mal den Punkt bei SafeGuard easy durch, bei der Anmerkung "This explanation seems to be reasonable. If they really cracked Safeguard Easy, why did they crack only 5 of the 16 computers?",
fragt man sich doch, vielleicht hatten die User einfach bei den 5 Rechnern leichte/kurze Passwörter ?...

Anyway, Dictionary attacks funktionieren auch ohne Probleme mit loop-aes...
Grundsätzlich ist dm-crypt durch die cryptoloop-Kompatibilität etwas weniger "sicher" als die anderen, aber mit passendem Password/Passphrase sicher genug für alle Anwendungen und die Sicherheitsprobleme sind auch überall aufgelistet.
Die Annahme loop-aes wär viel sicherer, bei gleicher Wahl der Parameter ist grundlegend falsch
Back to top
View user's profile Send private message
Baad3r
n00b
n00b


Joined: 07 Apr 2003
Posts: 22

PostPosted: Sun Jun 27, 2004 11:41 pm    Post subject: Reply with quote

Naja auch dazu gibt es verschiedene Meinungen.

http://lkml.org/lkml/2004/5/14/75

http://www.security-forums.com/forum/viewtopic.php?p=97828

Quote:
Anyway, Dictionary attacks funktionieren auch ohne Probleme mit loop-aes...
Die Annahme loop-aes wär viel sicherer, bei gleicher Wahl der Parameter ist grundlegend falsch


*schulterzuck* Mag sein oder nicht, für meine Zwecke ist es ausreichend. Mit genug Aufwand sind wahrscheinlich sowiso die meisten Sachen knackbar.
Back to top
View user's profile Send private message
DaFire
n00b
n00b


Joined: 07 Nov 2002
Posts: 25

PostPosted: Thu Jul 08, 2004 4:10 pm    Post subject: Reply with quote

wer gleichzeitig auch noch windows verwendet dem wuerd ich auch zu loop-aes raten...

http://www.scherrer.cc/crypt/

ich brenn backups mit loop-aes auf dvd und kann die fein unter windows und linux mounten :)
Back to top
View user's profile Send private message
blubbi
Guru
Guru


Joined: 27 Apr 2003
Posts: 564
Location: Halle (Saale), Germany

PostPosted: Fri Jul 23, 2004 6:56 pm    Post subject: Reply with quote

mmmh, when using the in it-script I get the following erros:

Code:
root@enterprise $ /etc/init.d/dm-crypt start
 * Starting device mapper and mount crypto device...
/sbin/runscript.sh: line 2: ($2 == MOUNT) { print "yes" }: command not found
 * map dev-map my-data on /dev/sdb1
Enter passphrase:
 * mount /dev/mapper/my-data                                                                                        [ ok ]
[~]


Code:

root@enterprise $ /etc/init.d/dm-crypt stop
 * Stopping device mapping(s) and unmount cryptodevice(s)...
/sbin/runscript.sh: line 2: ($2 == MOUNT) { print "yes" }: command not found
 * dev-map is not configured                                                                                          [ !! ]
                                                                                                                                      [ !! ]
[~]


Any Ideas what it could be?

Ouups is ja deutsch :-)

Ja, hat wer ne Idee, woran das liegen kann? Ich bin leider net so der Held im scripten.

Vielen Dank schon mal.
_________________
-->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered

http://olausson.de
Back to top
View user's profile Send private message
differential
n00b
n00b


Joined: 04 Jul 2004
Posts: 17
Location: Muenster / (Westf.)

PostPosted: Fri Jul 23, 2004 9:37 pm    Post subject: Reply with quote

Hallo,

wie sieht denn deine Zeile in dem Init-Skript aus? Du musst das \ Zeichen wechlassen und einfach durchschreiben. Das \ soll eigentlich nur deutlich machen, das es alles in eine Zeile gehört.

Vielleicht liegt es daran. Ansonsten poste doch mal dein Skript.
Back to top
View user's profile Send private message
blubbi
Guru
Guru


Joined: 27 Apr 2003
Posts: 564
Location: Halle (Saale), Germany

PostPosted: Sun Jul 25, 2004 10:21 am    Post subject: Reply with quote

lol, das wars .... Danke

Mann sollte scripte doch nicht nachts um 3 Uhr copy und pasten....

So aber mal ne andere frage, wie gebe ich nun mehrere verschlüsselte laufwerke in /etc/conf.d/dem-crypt an?

Code:

# /etc/conf.d/dm-crypt:

# Specify dm-crypt configurations here. The format of this file is
# shown in the following commented-out example. One line per mapping
# configuration.

dmmap=/dev/sda1 dmname=my-files dmdir=/mnt/100GB
dmmap=/dev/sdb1 dmname=my-data dmdir=/mnt/250GB



So klappt es nicht... mir gehen die Ideen aus.

Danke für eure hilfe.
_________________
-->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered

http://olausson.de
Back to top
View user's profile Send private message
blubbi
Guru
Guru


Joined: 27 Apr 2003
Posts: 564
Location: Halle (Saale), Germany

PostPosted: Thu Sep 23, 2004 10:50 am    Post subject: Reply with quote

Keiner da der ne idee hat warum das obige script aus der /etc/conf.d/dm-crypt immer nur das letze Mapping nimmt und alle anderen ignoriert?
_________________
-->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered

http://olausson.de
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum