View previous topic :: View next topic |
Author |
Message |
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Fri Apr 23, 2004 6:25 pm Post subject: Tip: DM-Crypt verschlüsseln der Festplatte |
|
|
Nachdem cryptoloop aus dem Kernel verschwinden soll und die Implementierung sowieso als problematisch gilt habe dem DM-Crypt installiert und eine Platte mit AES verschlüsselt.
Das Prinzip ist folgendes:
[Filesystem]<->[Device-Mapper]<->[Partition-Device]
........................ ^ ^
........................ | |
........................ v v
......................[ AES, Blowfish ...]
Man legt mit Cryptsetup ein Mapper-Dev (AES-verschlüssselt) an z.B. für /dev/hdf7:
#> cryptsetup -y create "hdf7" "/dev/hdf"
Password: .......
Anschliessend das Filesystem einrichten:
#> mkreiserfs /dev/mapper
Es ist allerdings für eine opt. Sicherheit besser die Partition mit mit Zufallswerten zu beschreiben.
Anschliessend Partition mounten:
#>mount -t reiserfs /dev/mapper /mnt/cryptoplatte
Das wars.... nein, es fehlt noch das Init-Skript:
---- CUT -----
#!/sbin/runscript
dmcryptconf="/etc/conf.d/dm-crypt"
dmapper() {
/sbin/cryptsetup $1 $2 $3
}
depend() {
need checkroot modules
need localmount
provide dmcrypt
}
start() {
ebegin "Starting device mapper and mount crypto device"
if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}
local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"
if [ "${configured}" != "yes" ]
then
if ! dmapper status ${dmname} | grep "inactive" > /dev/null
then
eend 1 "dev-map ${dmname} at ${dmmap} already exists!"
else
einfo "map dev-map ${dmname} on ${dmmap}"
if ! dmapper create ${dmname} ${dmmap}
then
eend 1 "Can't setup dev-map ${dmname} on ${dmmap}"
else
einfo "mount /dev/mapper/${dmname}"
if ! mount /dev/mapper/${dmname} ${dmdir}
then
dmapper remove ${dmname}
eend 1 "Can't mount /dev/mapper/${dmname} to ${dmdir}!"
else
eend 0
fi
fi
fi
else
eend 1 "crypto harddisk already configured"
fi
done
fi
eend $?
}
stop() {
ebegin "Stopping device mapping(s) and unmount cryptodevice(s)"
if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}
local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"
if [ "${configured}" == "yes" ]
then
umount ${dmdir}
dmapper remove ${dmname}
else
eend 1 "dev-map is not configured"
fi
done
fi
eend $?
}
---- CUT -----
Nun noch die Konfigurationsdatei für belieg viele Mapping:
---- CUT -----
# /etc/conf.d/dm-crypt:
# Specify dm-crypt configurations here. The format of this file is
# shown in the following commented-out example. One line per mapping
# configuration.
dmmap=/dev/hdf7 dmname=hdf7 dmdir=/mnt/cryptoplatte
---- CUT -----
Und wer mit mldonkey arbeitet kann dann noch in dessen Init-Skript in der Funkftion depend() eintragen:
---- CUT -----
need dmcrypt
---- CUT -----
Doc Funfrock |
|
Back to top |
|
|
Lenz Veteran
Joined: 17 Jul 2003 Posts: 1439 Location: Marburg [HE, D, EU]
|
Posted: Fri Apr 23, 2004 7:06 pm Post subject: |
|
|
Muss man dann beim Mounten immer ein Passwort eingeben oder wie funktioniert das? _________________ .:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
Back to top |
|
|
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Fri Apr 23, 2004 8:45 pm Post subject: |
|
|
Lenz wrote: | Muss man dann beim Mounten immer ein Passwort eingeben oder wie funktioniert das? |
Ja, oder du holst dir das Passwort aus einer Datei.
Die Reihenfolge ist so:
1) Device auf Mapper-Dev mappen und Passwort angeben (Init-Skript)
2) Mapper-Dev mounten |
|
Back to top |
|
|
Lenz Veteran
Joined: 17 Jul 2003 Posts: 1439 Location: Marburg [HE, D, EU]
|
Posted: Fri Apr 23, 2004 9:40 pm Post subject: |
|
|
Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre...
Ideal wäre. wenn man das verschlüsseln könnte, sodass er, sobald man "mount /mnt/cryptodrive" eingibt, nach dem Passwort fragt. Wäre sowas theoretisch bzw. auch praktisch möglich?
-- Lenz _________________ .:: Lenz' Signature 1.7b ::.
| Gentoo Linux since v1.4 (08-2003) [Screenshot]
| NetHack Highscore: 5.476.380 Pts., Val-Dwa-Fem-Law, ~ ascended to demigoddess-hood ~ |
|
Back to top |
|
|
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Fri Apr 23, 2004 10:02 pm Post subject: |
|
|
Lenz wrote: | Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre...
Ideal wäre. wenn man das verschlüsseln könnte, sodass er, sobald man "mount /mnt/cryptodrive" eingibt, nach dem Passwort fragt. Wäre sowas theoretisch bzw. auch praktisch möglich?
-- Lenz |
Ja, wenn du z.B.
#>/etc/init.d/dm-crypt start
eintippelst, dann geschieht das von "Hand". Das von mir vorgeschlagene Skript mountet auch die Partition. Und wenn du das configfile entsprechend pflegst, auch alle eingetragenen Partitionen auf einmal. |
|
Back to top |
|
|
Dellerium n00b
Joined: 04 Nov 2002 Posts: 69
|
Posted: Sat Apr 24, 2004 7:11 am Post subject: |
|
|
Ich habe mal ne Frage dazu .. das sieht mir sehr ähnlich zu Loop AES aus ... ist der einzige Vorteil in Zukunft der, das der Device Mapper in Zukunft gleich im Kernel drin ist, während man für Loop AES extra nen KernelModul kompilieren muss ? Oder gibt es noch mehr Vorteile ?
ps.: Ich hab Loop AES im Einsatz .. deshalb frage ich |
|
Back to top |
|
|
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Sat Apr 24, 2004 9:39 am Post subject: |
|
|
Dellerium wrote: | Ich habe mal ne Frage dazu .. das sieht mir sehr ähnlich zu Loop AES aus ... ist der einzige Vorteil in Zukunft der, das der Device Mapper in Zukunft gleich im Kernel drin ist, während man für Loop AES extra nen KernelModul kompilieren muss ? Oder gibt es noch mehr Vorteile ?
ps.: Ich hab Loop AES im Einsatz .. deshalb frage ich |
Nachdem was ich gelesen habe ist die Implementation problematischer, weil auch z.B. die Supernode verschlüsselt wird, so das einem Known-Plaintext-Angriff nichts im Wege steht. Insgesamt scheint die Konstruktion für die Cryptoloop problematischer zu sein
Der Device-Mapper ist sauberer aufgebaut als die Loop-Devices (wird als hack bezeichnet) und flexibler, da weder Namen noch Anzahl beschränkt sind. Die Konstruktion des Scripts war tatsächlich einfacher als bei einer Cryptoloop.
Selbst Device-Resizing ist mit dem Device-Mapper einfach möglich.
Und warum sollte ich mir ein zusätzliches Modul in den Kernel holen, wenn es nicht notwendig ist?
Lese hier nach:
http://www.saout.de/misc/dm-crypt/ |
|
Back to top |
|
|
regime n00b
Joined: 24 Apr 2004 Posts: 2
|
Posted: Sat Apr 24, 2004 2:55 pm Post subject: Crypto Chip auf VIA-Boards? |
|
|
Hallo,
das mit der Verschlüsselung ist ne feine Sache, aber weiss einer von Euch, ob man den Krypto-Chip auf einem ViaM10000 Board zum laufen bekommen kann, so dass es nicht nur über die CPU geht?
Gruß
regime |
|
Back to top |
|
|
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Sat Apr 24, 2004 4:13 pm Post subject: Re: Crypto Chip auf VIA-Boards? |
|
|
regime wrote: | Hallo,
das mit der Verschlüsselung ist ne feine Sache, aber weiss einer von Euch, ob man den Krypto-Chip auf einem ViaM10000 Board zum laufen bekommen kann, so dass es nicht nur über die CPU geht?
Gruß
regime |
Im Prinzip bräuchtest du einen Treiber. Wenn es einen geben sollte, dann ist er bestimmt für die Cryptoloop. |
|
Back to top |
|
|
leuenberger Tux's lil' helper
Joined: 13 Jul 2003 Posts: 147 Location: Zurich, ZH, Schweiz
|
Posted: Mon Apr 26, 2004 2:06 pm Post subject: |
|
|
Gibt es eine Möglichkeit Dateien zu verschlüsseln wie beim Cryptoloop? So wie im folgenden Beispiel:
Code: | > dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup -e twofish /dev/loop0 /home/raysoft/.cryptfile
Available keysizes (bits): 128 192 256
Keysize:
Passwort:
> mke2fs /dev/loop0
> losetup -d /dev/loop0 |
Ich habe es folgendermassen versucht:
Code: | > dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> cryptsetup -c twofish -y create test /home/raysoft/.cryptfile |
Funktioniert leider nicht. Es wird ein Block-Device erwartet.
Gruss Reto |
|
Back to top |
|
|
leuenberger Tux's lil' helper
Joined: 13 Jul 2003 Posts: 147 Location: Zurich, ZH, Schweiz
|
Posted: Mon Apr 26, 2004 2:30 pm Post subject: |
|
|
Ich habe es herausgefunden:
Code: | > dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup /dev/loop7 /home/raysoft/.cryptfile
> cryptsetup -c twofish -y create test /dev/loop7
Enter passphrase:
Verify passphrase:
> mke2fs /dev/loop7
> mount /dev/loop7 /mnt |
Und das ganze wieder abbauen:
Code: | > umount /mnt
> cryptsetup remove test
> losetup -d /dev/loop7 |
Eine fstab-fähige Version habe ich noch nicht gefunden.
Gruss Reto |
|
Back to top |
|
|
drfunfrock Tux's lil' helper
Joined: 05 Aug 2003 Posts: 114
|
Posted: Mon Apr 26, 2004 2:31 pm Post subject: |
|
|
leuenberger wrote: | Gibt es eine Möglichkeit Dateien zu verschlüsseln wie beim Cryptoloop? So wie im folgenden Beispiel:
Code: | > dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> losetup -e twofish /dev/loop0 /home/raysoft/.cryptfile
Available keysizes (bits): 128 192 256
Keysize:
Passwort:
> mke2fs /dev/loop0
> losetup -d /dev/loop0 |
Ich habe es folgendermassen versucht:
Code: | > dd if=/dev/urandom of=/home/raysoft/.cryptfile bs=1M count=20
> cryptsetup -c twofish -y create test /home/raysoft/.cryptfile |
Funktioniert leider nicht. Es wird ein Block-Device erwartet.
Gruss Reto |
Es soll gehen, wenn man vorher ein loop-device mit der Datei verbindet, um dieses dann zu mappen
Doc Funfrock |
|
Back to top |
|
|
MrPrez n00b
Joined: 02 Sep 2003 Posts: 67
|
Posted: Tue Apr 27, 2004 8:50 pm Post subject: |
|
|
Ich habe leider festplattentechnisch nicht den Platz dazu, mich würde aber extrem die Geschwindigkeit im Gegensatz zum cryptoloop interessieren. Ich verschieb ab und an mal paar Dateien und da macht sich ein Geschwindigkeitsvorteil schon bemerkbar. Also wäre für Erfahrungsberichte sehr dankbar! |
|
Back to top |
|
|
ian! Bodhisattva
Joined: 25 Feb 2003 Posts: 3829 Location: Essen, Germany
|
Posted: Tue May 18, 2004 12:45 pm Post subject: |
|
|
Lenz wrote: | Kann man das nicht so einrichten, dass der das beim Systemstart nicht mounted, und sobald man die Platte mounten will, fragt er nach dem Passwort?
Was bringt mir eine verschlüsselte Platte, wenn sie bei jedem Systemstart automatisch gemounted wird. Später mit init-script mounten ist ja auch nicht so das Wahre... |
drfunfrock wrote: | Ja, oder du holst dir das Passwort aus einer Datei. |
Kleiner Tipp hierzu am Rande: Bei einem großen Elektromarkt ("ich bin doch nicht blöd" und mache hier noch "für die Mutter aller Schnäppchen" Werbung ) gibt es z. Zt. sehr günstig (~13 EUR) USB-Sticks, die sich ausgezeichnet hierfür eignen.
Nur mal so als Gedanke... _________________ "To have a successful open source project, you need to be at least somewhat successful at getting along with people." -- Daniel Robbins |
|
Back to top |
|
|
Tazok Guru
Joined: 25 Oct 2003 Posts: 310
|
Posted: Sat Jun 19, 2004 9:42 pm Post subject: |
|
|
drfunfrock wrote: |
Nachdem was ich gelesen habe ist die Implementation problematischer, weil auch z.B. die Supernode verschlüsselt wird, so das einem Known-Plaintext-Angriff nichts im Wege steht. Insgesamt scheint die Konstruktion für die Cryptoloop problematischer zu sein |
Nur zum Verständnis: Meinst du mit Supernode den Superblock der Partition, oder liege ich da falsch? |
|
Back to top |
|
|
|T5| n00b
Joined: 13 Dec 2003 Posts: 33
|
Posted: Sun Jun 20, 2004 9:35 am Post subject: |
|
|
ebenfalls nur zum verständnis: Ich verstehe http://kerneltrap.org/node/view/2433 so, dass dmcrypt derzeit noch voll kompatibel zu cryptoloop devices und daher auch anfällig gegen die genannten tabellenbasierten wörterbuchattacken ist. Sehe ich das richtig? |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Sun Jun 20, 2004 4:08 pm Post subject: |
|
|
Wer loop-aes am laufen hat, dem würd ich atm nicht empfehlen extra auf dm-crypt umzusteigen, sondern lieber noch ein paar Kernel versionen warten
loop-aes scheint auch bei einigen noch ein gutes Stück schneller zu laufen als dm-crypt |
|
Back to top |
|
|
Baad3r n00b
Joined: 07 Apr 2003 Posts: 22
|
Posted: Mon Jun 21, 2004 1:47 am Post subject: |
|
|
http://v4.livegate.net/wipe/crypto.html
Lt. diesem Review ist dm-crypt nicht wirklich sicher. Ich bin seit einiger Zeit auf der Suche nach einer guten Krypto-Lösung und werde daher wohl loop-AES mit twofish einsetzen. |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Thu Jun 24, 2004 6:37 pm Post subject: |
|
|
Dieses Review is imho für die Katz, das hat eher was mit Auflistung zu tun.
Lest euch nur mal den Punkt bei SafeGuard easy durch, bei der Anmerkung "This explanation seems to be reasonable. If they really cracked Safeguard Easy, why did they crack only 5 of the 16 computers?",
fragt man sich doch, vielleicht hatten die User einfach bei den 5 Rechnern leichte/kurze Passwörter ?...
Anyway, Dictionary attacks funktionieren auch ohne Probleme mit loop-aes...
Grundsätzlich ist dm-crypt durch die cryptoloop-Kompatibilität etwas weniger "sicher" als die anderen, aber mit passendem Password/Passphrase sicher genug für alle Anwendungen und die Sicherheitsprobleme sind auch überall aufgelistet.
Die Annahme loop-aes wär viel sicherer, bei gleicher Wahl der Parameter ist grundlegend falsch |
|
Back to top |
|
|
Baad3r n00b
Joined: 07 Apr 2003 Posts: 22
|
Posted: Sun Jun 27, 2004 11:41 pm Post subject: |
|
|
Naja auch dazu gibt es verschiedene Meinungen.
http://lkml.org/lkml/2004/5/14/75
http://www.security-forums.com/forum/viewtopic.php?p=97828
Quote: | Anyway, Dictionary attacks funktionieren auch ohne Probleme mit loop-aes...
Die Annahme loop-aes wär viel sicherer, bei gleicher Wahl der Parameter ist grundlegend falsch |
*schulterzuck* Mag sein oder nicht, für meine Zwecke ist es ausreichend. Mit genug Aufwand sind wahrscheinlich sowiso die meisten Sachen knackbar. |
|
Back to top |
|
|
DaFire n00b
Joined: 07 Nov 2002 Posts: 25
|
Posted: Thu Jul 08, 2004 4:10 pm Post subject: |
|
|
wer gleichzeitig auch noch windows verwendet dem wuerd ich auch zu loop-aes raten...
http://www.scherrer.cc/crypt/
ich brenn backups mit loop-aes auf dvd und kann die fein unter windows und linux mounten |
|
Back to top |
|
|
blubbi Guru
Joined: 27 Apr 2003 Posts: 564 Location: Halle (Saale), Germany
|
Posted: Fri Jul 23, 2004 6:56 pm Post subject: |
|
|
mmmh, when using the in it-script I get the following erros:
Code: | root@enterprise $ /etc/init.d/dm-crypt start
* Starting device mapper and mount crypto device...
/sbin/runscript.sh: line 2: ($2 == MOUNT) { print "yes" }: command not found
* map dev-map my-data on /dev/sdb1
Enter passphrase:
* mount /dev/mapper/my-data [ ok ]
[~]
|
Code: |
root@enterprise $ /etc/init.d/dm-crypt stop
* Stopping device mapping(s) and unmount cryptodevice(s)...
/sbin/runscript.sh: line 2: ($2 == MOUNT) { print "yes" }: command not found
* dev-map is not configured [ !! ]
[ !! ]
[~]
|
Any Ideas what it could be?
Ouups is ja deutsch
Ja, hat wer ne Idee, woran das liegen kann? Ich bin leider net so der Held im scripten.
Vielen Dank schon mal. _________________ -->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered
http://olausson.de |
|
Back to top |
|
|
differential n00b
Joined: 04 Jul 2004 Posts: 17 Location: Muenster / (Westf.)
|
Posted: Fri Jul 23, 2004 9:37 pm Post subject: |
|
|
Hallo,
wie sieht denn deine Zeile in dem Init-Skript aus? Du musst das \ Zeichen wechlassen und einfach durchschreiben. Das \ soll eigentlich nur deutlich machen, das es alles in eine Zeile gehört.
Vielleicht liegt es daran. Ansonsten poste doch mal dein Skript. |
|
Back to top |
|
|
blubbi Guru
Joined: 27 Apr 2003 Posts: 564 Location: Halle (Saale), Germany
|
Posted: Sun Jul 25, 2004 10:21 am Post subject: |
|
|
lol, das wars .... Danke
Mann sollte scripte doch nicht nachts um 3 Uhr copy und pasten....
So aber mal ne andere frage, wie gebe ich nun mehrere verschlüsselte laufwerke in /etc/conf.d/dem-crypt an?
Code: |
# /etc/conf.d/dm-crypt:
# Specify dm-crypt configurations here. The format of this file is
# shown in the following commented-out example. One line per mapping
# configuration.
dmmap=/dev/sda1 dmname=my-files dmdir=/mnt/100GB
dmmap=/dev/sdb1 dmname=my-data dmdir=/mnt/250GB
|
So klappt es nicht... mir gehen die Ideen aus.
Danke für eure hilfe. _________________ -->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered
http://olausson.de |
|
Back to top |
|
|
blubbi Guru
Joined: 27 Apr 2003 Posts: 564 Location: Halle (Saale), Germany
|
Posted: Thu Sep 23, 2004 10:50 am Post subject: |
|
|
Keiner da der ne idee hat warum das obige script aus der /etc/conf.d/dm-crypt immer nur das letze Mapping nimmt und alle anderen ignoriert? _________________ -->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered
http://olausson.de |
|
Back to top |
|
|
|