Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
partition verschlüsseln mit dmcrypt
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3 ... , 9, 10, 11  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Sat Nov 12, 2005 2:08 pm    Post subject: Reply with quote

Interessant für alle die einen 64Bit Kernel haben:

Ab dem 2.6.13 Kernel ist der AES Cypher in 64Bit Assember geschrieben.

Bei mir bringt das ca. 20 % mehr Leistung als noch mit dem 2.6.12er. Das nenn ich mal nen Sprung nur durch ein Kernel update.

2.6.12: ~33 MB/s
2.6.13: ~40 MB/s

Allerdings heisst die Config Option jetzt CONFIG_CRYPTO_AES_X86_64, daher könnt ihr nicht einfach eure alte Kernel-config verwenden.
Einmal ins menuconfig rein und Schalter setzen.
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
return13
Guru
Guru


Joined: 02 Feb 2004
Posts: 513
Location: Hamburg - Germany

PostPosted: Tue Nov 22, 2005 9:34 pm    Post subject: Reply with quote

danke fürs Tut.
Wenn du willst kannst du noch ergänzen das man das Paket app-arch/sharutils braucht für uuencode
_________________
Wer Recht erkennen will, muß zuvor in richtiger Weise gezweifelt haben.
Aristoteles (384-322), griech. Philosoph, Begründer d. abendländ. Philosophie
Back to top
View user's profile Send private message
e-tho
n00b
n00b


Joined: 21 Oct 2005
Posts: 2
Location: germany

PostPosted: Fri Dec 30, 2005 7:45 pm    Post subject: fsck auf verschlüsselte Partition schlägt fehl... Reply with quote

Hallo Forum,
erstmal vielen Dank für die guten Tipps, Anleitungen und Tools zum Thema verschlüsseln.

Dank dieser Hilfen habe ich seit einiger Zeit eine verschlüsselte Partition die ich nur mounte wenn ich sie brauche, alles arbeitet wunderbar... :)
Beim rumschnüffeln in den Logs hab ich aber gesehen, es wird Zeit für ein fsck.

Code:

Dec 30 18:50:06 nemesis EXT3-fs warning: maximal mount count reached, running e2
fsck is recommended
Dec 30 18:50:06 nemesis kjournald starting.  Commit interval 5 seconds
Dec 30 18:50:06 nemesis EXT3 FS on dm-0, internal journal
Dec 30 18:50:06 nemesis EXT3-fs: mounted filesystem with ordered data mode.


Kein Problem dachte ich, fsck hilft...

Code:

# fsck /dev/hda6
fsck 1.38 (30-Jun-2005)
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext2: Bad magic number in super-block while trying to open /dev/hda6

The superblock could not be read or does not describe a correct ext2
filesystem.  If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
    e2fsck -b 8193 <device>


Huch? Was ist los? Nochmal explizit mit fsck.ext3 probieren...

Code:

# fsck.ext3 /dev/hda6
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext3: Bad magic number in super-block while trying to open /dev/hda6

The superblock could not be read or does not describe a correct ext2
filesystem.  If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
    e2fsck -b 8193 <device>


Die Partition lässt sich wunderbar mounten und die Daten lesen und schreiben, ist also prinzipiell OK.

Ich probier's auch auf der richtigen Partition. Laut /etc/crypto-mount.conf (was ja funktioniert):
Code:

DEVICE_NAME="/dev/hda6"         # Name of the partition-device, e.g. hda3
CRYPTO_FS="ext3"                # Filesystem of the crypto-device


Was läuft also mit fsck falsch?
Ich hab sogar probiert die Partition gemountet zu checken (normalerweise macht man sowas ja nicht), aber das ging mit der gleichen Fehlermeldung wieder in die Hose...

Eine Sache noch. Ich hab /sbin/e2fsck auf dem System. Brauch ich ein e3fsck? Bisher hab ich nur mit ext2 gearbeitet...

Linux benutze ich schon länger, bin aber Frischling mit Gentoo.
Könnt ihr mir einen Tipp geben? Ich steh auf dem Schlauch...

Gruss,
e-tho
Back to top
View user's profile Send private message
svf
n00b
n00b


Joined: 01 Feb 2005
Posts: 50

PostPosted: Sun Jan 15, 2006 10:46 am    Post subject: Reply with quote

Hi
du musst e2fsck auf den mapper anwenden...
also erst mit cryptomount dein mapper erstellen(oder von hand)
dann unmount(umount <mountpoint>)

und dann kannst du e2fsck /dev/mapper/<mappername>
danach wieder mounten und fertig

HTH
gruß
_________________
uchafu!
Back to top
View user's profile Send private message
e-tho
n00b
n00b


Joined: 21 Oct 2005
Posts: 2
Location: germany

PostPosted: Sun Jan 15, 2006 12:20 pm    Post subject: Reply with quote

Hallo svf,
danke für den Tipp! Hat geholfen. :)

Gruss,
e-tho
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Thu Jan 26, 2006 8:42 pm    Post subject: Reply with quote

Tag,
habe das jetzt so gemacht wie es im HowTo steht, danke erstmal für die Anleitung.

Nun zu meinem Problem: Ich habe gemerkt, dass die Partition ein bisschen zu klein ist. Kann ich die größe nachträglich verändern ohne Probleme?


Gruß ScytheMan
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Tue Jan 31, 2006 6:08 am    Post subject: Reply with quote

Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann.

Und es gibt glaube ich nen ext3resize oder so ähnlich.

Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern).
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
flash49
Apprentice
Apprentice


Joined: 12 Feb 2005
Posts: 233

PostPosted: Sun Feb 05, 2006 2:22 pm    Post subject: Reply with quote

Anarcho wrote:
Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann.

Das geht mit "cryptsetup resize". Wennich mich richtig an meine letzte Erweiterung erinnere braucht man das Filesystem nichtmal auszuhängen. Das ist besonders praktisch, wenn man ein Filesystem wie xfs benutzt. Das kann man dann auch online erweitern

Anarcho wrote:
Und es gibt glaube ich nen ext3resize oder so ähnlich.

Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern).

Das Programm heißt "resize2fs", ext2resize und ext2online sind schon ziemlich alt und haben mit manchen Strukturen Probleme. Bei mir sind sie über die Raid-Optimierungen gestolpert.
Back to top
View user's profile Send private message
Massimo B.
Veteran
Veteran


Joined: 09 Feb 2005
Posts: 1204
Location: PB, Germany

PostPosted: Tue Feb 07, 2006 9:43 am    Post subject: Automatisches Mounten von dm-crypt partition mit pam_mount Reply with quote

Hallo. Ich habe hier cm_crypt mit pam_mount verknüpft, nach der HowTo Automatically mount dm-crypt encrypted home with pam_mount. Dadurch muß ich nur noch mein Benutzerpasswort eingeben, der Schlüssel selbst liegt in einer ssl-verschlüsselten Datei.
Scheinbar kümmert sich dort niemand mehr um die Diskussion.
  • Nach dem Logout bleibt gerne mal die Partition gemountet, wenn Prozeße noch darauf zugreifen. Das habe ich einigermaßen behoben, indem ich das Skript /usr/bin/umount.crypt geändert hab:
    Code:
    # warte kurz...
    sleep 4
    #"$UMOUNT" "$1";
    "$UMOUNT" -l "$1";
    if [ $? -ne 0 ]; then
            echo "${0##*/}: error unmounting $1" >&2
    # ...
    Allerdings bleibt auch dann manchmal noch /dev/mapper/_dev_hda5 aktiv, und läßt sich auch nicht manuell mit remove entfernen, da es noch verwendet werde. Trotzdem zeigt fuser -vm /dev/mapper/_dev_hda5 nichts mehr an.
    Das Problem besteht nur bei KDE Sitzungen. Konsolen Login/Logoff funktioniert tadellos.
  • Laut pam_mount.conf sollte LUKS auch möglich sein. Hier verstehe ich aber nicht, wie ich gemäß HowTo meine Schlüsseldatei als "Passphrasse" mitgebe.
  • Sollte mal ein fsck nötig sein, kann ich dies auf /dev/mapper/_dev_hda5 anwenden?

_________________
ppc:PowerBook5,8 15"(1440)-G4/1.67,2G | amd64:Acer Z5610 (Core2QuadQ8200),i5-3470 | amd64-prefix:OpenSuse | Lila-Theme
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3485

PostPosted: Sat Feb 18, 2006 7:43 am    Post subject: Reply with quote

Habe mir das crypto-mount script umgebaut, da ich kein Keyfile möchte sondern die Passphase direkt verwenden. Als Vorteil sehe ich die Vermeidung von gpg, denn bei der vorgestellten Variante liegt die ganze Gefahr bei der gpg-Verschlüsselung, ist diese "geknackt" ist auch die Partition offen und außerdem kann ich so das Keyfile nicht verlieren. Nachteil ist dass das Passwort nachträglich nicht mehr geändert werden kann und entsprechend lang sein sollte. Alles was ich nicht benötigte habe ich weggelassen. Ergänzt habe ich die config um PW_TRIPLE_MD5 welche eine 3-fache md5sum des Passwortes enthält damit ich auch dessen Richtigkeit prüfen kann. Evt. sollte man hier einen besseren Hash-Algo. finden, bin für Vorschläge offen. Den Wert erhält man durch
Code:
echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1

aber nicht vergessen anschliessend den Befehl wieder aus der history zu werfen.

Deweiteren habe ich ein simples fsck ergänzt. (ohne Fehlerbehandlung) Die MOUNT_OPTIONS war im orginalen Script aus dem tar.gz nicht korrekt, da fehlte das -o in der Config oder im Script. Da ich -t ext3 mit in die MOUNT_OPTIONS schreibe habe ich mir letztendlich CRYPTO_FS auch gespart. Das Script crypto-umount ist gleich geblieben.

/etc/crypto-mount.conf
Code:
# ********************************************************************* #
# Script for automatically mounting and unmounting a crypted partition  #
# by using a keyfile stored on a removable media. This keyfile can be   #
# encrypted by gpg.                                                     #
#                                                                       #
# Author: Matthias Schroeer (Anarcho)                                   #
# Date: 01.11.2004                                                      #
# Version: 0.6                                                          #
# License: GPL                                                          #
#                                                                       #
# ToDo:                                                                 #
# - add support for multiple crypted partitions                         #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#

# Config

PW_TRIPLE_MD5="cc9a69285ff5fffd26e33bde2130c56f" # triple md5sum of password
MAX_PW_TRIES=3                  # Maximum password tries
PW_TIME_OUT="20"                # password timeout in seconds, set to "" to disable

MAPPER_NAME="crypto"            # Mapper-device name
DEVICE_NAME="/dev/md6"          # Name of the partition-device, e.g. hda3
CRYPTSETUP_OPTIONS=""           # Options for cryptsetup like -s 128

CRYPTO_MOUNT="/mnt/crypto"      # Moutpoint for the crypto-device
MOUNT_OPTIONS="-t ext3 -o noatime"      # Mountoptions for the crypted device


crypto-mount
Code:
#!/bin/bash

# ********************************************************************* #
# crypto-mount                                                          #
#                                                                       #
# Script for automatically mounting a crypted partition by using a      #
# keyfile stored on a removable media. This can be encrypted by gpg.    #
#                                                                       #
# Author: Matthias Schroeer (Anarcho)                                   #
# Date: 05.12.2004                                                      #
# Version: 0.6.2                                                                #
# License: GPL                                                          #
#                                                                       #
# ToDo:                                                                 #
# - add support for multiple crypted partitions                         #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#

unset PASS

# Color definition

cblack='\E[30m'
cred='\E[31m'
cgreen='\E[32m'
cyellow='\E[33m'
cblue='\E[34m'
cmagenta='\E[35m'
ccyan='\E[36m'
cwhite='\E[37m'

cecho ()
# Argument $1 = message
# Argument $2 = color
{
use_color=${2:-$cblack}          # Defaults to black, if not specified.
  echo -en '\033[1m'"$use_color"
  echo -n "$1"
  tput sgr0                  # Reset to normal.
  return
}


# Checking if you are root
if [ `whoami` != "root" ]; then
        cecho "  ERROR:  " $cred
        echo "You have to be Super-User to mount $MAPPER_NAME"
        exit 1
fi

# Check for config-file
if [ -f /etc/crypto-mount.conf ]; then
        source /etc/crypto-mount.conf
else
        cecho "  ERROR:  " $cred
        echo "No config file was found (/etc/crypto_mount.conf)"
        exit 10
fi

# Checking if the mapper-device already exists
if [ -b /dev/mapper/${MAPPER_NAME} ]; then
        cecho "  WARNING:  " $cyellow
        echo "Mapper already created, only trying to mount"
        # Checking if already mounted
        MOUNT_TEST=`mount | grep /dev/mapper/${MAPPER_NAME}`
        if [ "$MOUNT_TEST" == "" ]; then
                # Checking mount-options
                if [ "$MOUNT_OPTIONS" != "" ]; then MOUNT_OPTIONS="-o $MOUNT_OPTIONS"; fi
                # Checking if mountpoiunt for the crypto-device exists
                if [ ! -d ${CRYPTO_MOUNT} ]; then
                        if [ -e ${CRYPTO_MOUNT} ]; then
                                cecho "  ERROR:  " $cred
                                echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
                                exit 7
                        else
                                cecho "  WARNING:  " $cyellow
                                echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
                                if ! mkdir ${CRYPTO_MOUNT}; then
                                        cecho "  ERROR:  " $cred
                                        echo "Creating mountpoint (${CRYPTO_MOUNT})"
                                        exit 9
                                fi
                        fi
                fi


                # fsck
                fsck /dev/mapper/${MAPPER_NAME}

                # Mounting the cryptodevice
                if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
                        echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
                        exit 0
                else
                        cecho "  ERROR:  " $cred
                        echo "Mounting crypto-device"
                        exit 5
                fi
        else
                cecho "  WARNING:  " $cyellow
                echo "Crypto-device already mounted! (${CRYPTO_MOUNT})"
                exit 0
        fi
fi

# Checking if the partition to crypt exists
if [ ! -b "${DEVICE_NAME}" ]; then
        cecho "  ERROR:  " $cred
        echo "Device does not exist (${DEVICE_NAME})"
        exit 6
fi

# Creating the crypto-device

PW_OK="no"
if [ "$PW_TIME_OUT" != "" ]; then
        PW_TIME_OUT="-t $PW_TIME_OUT"
fi

COUNTER=0
while [ "$PW_OK" != "yes" ]; do
        echo "Sorry, the password is wrong!"
        if [ $COUNTER -ge $MAX_PW_TRIES ]; then
                cecho "  ERROR:  " $cred
                echo "Maximum password tries are reached!"
                exit 12
        fi
        echo -n "Please enter passphrase (hit ENTER to exit): "; read -ers $PW_TIME_OUT PASS
        # Check if only ENTER
        if [ "$PASS" == "" ]; then
                echo ""
                exit 13
        fi
        # Check if passwort is right
        if [ "`echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1`" == "$PW_TRIPLE_MD5" ] ; then
                PW_OK="yes" ;
        fi
        COUNTER=$[$COUNTER+1]
done
echo "$PASS" | /bin/cryptsetup ${CRYPTSETUP_OPTIONS} -h plain create ${MAPPER_NAME} ${DEVICE_NAME} && CRYPT_SUCC="yes"
unset PASS; echo ""

#echo $RUN_CRYPT; exit 1
if [ "$CRYPT_SUCC" == "yes" ]; then
        # Checking if mountpoiunt for the crypto-device exists
        if [ ! -d ${CRYPTO_MOUNT} ]; then
                if [ -e ${CRYPTO_MOUNT} ]; then
                        cecho "  ERROR:  " $cred
                        echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
                        /bin/cryptsetup remove ${MAPPER_NAME}
                        exit 7
                else
                        cecho "  WARNING:  " $cyellow
                        echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
                        if ! mkdir ${CRYPTO_MOUNT}; then
                                cecho "  ERROR:  " $cred
                                echo "Creating mountpoint (${CRYPTO_MOUNT})"
                                exit 9
                        fi
                fi
        fi

        # fsck
        fsck /dev/mapper/${MAPPER_NAME}

        # Mounting the cryptodevice
        if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
                cecho "  SUCCESS:  " $cgreen
                echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
                exit 0
        else
                cecho "  ERROR:  " $cred
                echo "Mounting crypto-device"
                cryptsetup remove ${MAPPER_NAME}
                exit 5
        fi
else
        cecho "  ERROR:  " $cred
        echo "Creating the mapper-device (${MAPPER_NAME})"
        exit 4
fi

exit 0
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3485

PostPosted: Mon Feb 20, 2006 9:10 am    Post subject: Reply with quote

Habe das gefunden um die Swap ohne Scripte direkt durch die Angabe in der /etc/fstab zu verschlüsseln. Scheint auch zu funktionieren, /dev/loop7 wird dann als Swap eingebunden, allerdings bin ich mir nicht sicher ob die Verschlüsselung auch so funktioniert wie sie soll, da ja Cryptoloop deprecated sein soll. Weiß das jemand genauer? Kann man das testen? Gibt es einen gleichartigen Eintrag für die fstab auch mit dmcrypt?

/etc/fstab
Code:
/dev/hdax none swap sw,loop=/dev/loop7,encryption=AES128 0 0
Back to top
View user's profile Send private message
flash49
Apprentice
Apprentice


Joined: 12 Feb 2005
Posts: 233

PostPosted: Tue Feb 21, 2006 9:40 pm    Post subject: Reply with quote

Sorry slick, wenn ich mal kurz das Thema wechsle, aber ich habe hier noch 2 kleine Tipps:

1)Wenn man mit "gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace" das verschlüsselte Filesystem erzeugen will und den falschen key eingibt wird das Mapperdevice trotzdem erzeugt! Das Passwort ist dann leer oder sonst irgendwas.

2)Wenn man den Verschlüsselungskey wechseln will oder muß (z.b. weil man obigen Fehler gemacht hat :oops: ), dann geht das wie folgt:
Code:
umount /dev/evms/bigspace
gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace
#passwort für alten key eingeben
gpg -d /system-neu.key.gpg|cryptsetup -h plain create bigspace_crypt2 /dev/evms/bigspace
#passwort für neuen key eingeben
dd if=/dev/mapper/bigspace_crypt|buffer -s64k -S10m|dd of=/dev/mapper/bigspace_crypt2

Ich habe über einen Tag für 220GB gebraucht (ist aber auch nur ein P3/550 ). Vieleicht bringen auch andere Werte für die Buffergröße etwas.
:!: Achtung der Vorgang darf auf keinen Fall unterbrochen werden, sonst habt ihr ein Filesystem, daß halb mit dem einen und halb mit dem anderen Key verschlüsselt ist :!:
Falls ihr den Vorgang dennnoch unterbrochen habt könnt ihr versuchen mit den "seek" und "skip" Optionen an der Stelle weiterzumachen an der ihr aufgehört habt.

Btw. Wenn ihr vorher ein Backup macht, dann schadet das bestimmt auch nicht!
_________________
Don't bash me.
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1486
Location: Germany -> Saxony -> Leipzig

PostPosted: Thu Mar 16, 2006 4:57 pm    Post subject: Reply with quote

Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge

Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:

http://de.gentoo-wiki.com/DM-Crypt
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3485

PostPosted: Fri Mar 17, 2006 12:00 pm    Post subject: Reply with quote

misterjack wrote:
Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, ...


http://de.gentoo-wiki.com/DM-Crypt wrote:
Cryptsetup hat einen Schönheitsfehler, es trennt die Informationen des Keys von den zu verschlüsselten Informationen. Die Cryptsetup Parameter stehen in Skripten oder Dateien und wer diese verliert, erhält keinen Zugriff auf seine Daten.
[...]
LUKS trickst Datenretter aus, indem ein AF-Splitter diese Daten um das Viertausendfache aufbläht. Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Key zu bestimmen. Fehlt ein Sektor, ist ein Zugriff unmöglich.

Ich denke hier sollte man genau überlegen was man möchte. Sicher bietet LUKS Vorteile, aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren). Bei normalem Cryptsetup kann ich genannte "Skripte oder Dateien" einfach sichern. Bei LUKS, wenn ich das richtig verstehe, muß ich schon gezielt einzelne Sektoren der Festplatte sichern (sofern überhaupt bekannt welche) um wieder an den Masterkey zu kommen falls auch nur ein Sektor ausfällt.
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1486
Location: Germany -> Saxony -> Leipzig

PostPosted: Fri Mar 17, 2006 12:44 pm    Post subject: Reply with quote

slick wrote:
Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Ke aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren)

dafür gibts doch das:

Festplatten kennen die Funktion Sector Remapping, eine einfache Technik, die einen schlecht lesbaren Sektor in eine reservierte Festplattenzone kopiert und dann sämtlichen Zugriff umleitet ;) wenn man auf nummer sicher gehen will, added man seinen key halt bis die acht slots voll sind. würde jeden key mit einer angehängten ziffer unterscheiden

edit: habe grad mal die homepage durchsucht, ob sowas geplant ist:

Q: How can I backup my keys

You can't. Either stuff the key into another key slot, if you are afraid of damaged sectors that might occour in your phdr, and regularly backup your disk. This is not the place to talk about the benifits of backups, but when using cryptography you are in a much harder position to recover stuff in the event of data loss.
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
Massimo B.
Veteran
Veteran


Joined: 09 Feb 2005
Posts: 1204
Location: PB, Germany

PostPosted: Tue Mar 21, 2006 7:15 am    Post subject: Reply with quote

misterjack wrote:
http://de.gentoo-wiki.com/DM-Crypt

Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche nach Anleitung mit pam_mount (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen.
Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft.

http://de.gentoo-wiki.com/Diskussion:DM-Crypt wrote:
Fragen zur Howto:
  • Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen).
  • Warum /dev/hda1 und nicht direkt /dev/hda? Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3?

Kurze Frage zur Performance:
  • aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein?

_________________
ppc:PowerBook5,8 15"(1440)-G4/1.67,2G | amd64:Acer Z5610 (Core2QuadQ8200),i5-3470 | amd64-prefix:OpenSuse | Lila-Theme
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1486
Location: Germany -> Saxony -> Leipzig

PostPosted: Tue Mar 21, 2006 4:04 pm    Post subject: Reply with quote

paoleela wrote:

Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche nach Anleitung mit pam_mount (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen.

sorry, kann ich nix dazu sagen

paoleela wrote:

Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft.

Dein Masterkey ist noch lange nicht so gut gesichert wie bei LUKS ;)

http://de.gentoo-wiki.com/Diskussion:DM-Crypt wrote:

habe ich übersehen ;)
paoleela wrote:

Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen).

Ja stimmt eigentlich, werde es gleich ändern. urandom ist auch nur nötig, wenn man vorhandene daten löschen will. das macht aber shred schon ziemlich gut ;) (25fache Überschreibung)

paoleela wrote:
Warum /dev/hda1 und nicht direkt /dev/hda?

Teste es doch einfach mal ;) In dem Anwendungsbeispiel geht es ja darum eine Partition zu verschlüsseln ;) Ich mache grad einen Test mit meinen USB-Stick (lahmende USB 1.1 Version) und sieht erfolgversprechend aus. werde demnächst mal ne 3 GB hdd zum testen reinhauen, meine S-ATA ist schon zur Hälfte voll ;)

paoleela wrote:

Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3?

gerade mal ausprobiert mit usbstick:

Code:
Platte /dev/mapper/usbstick: 65 MByte, 65531904 Byte
255 Köpfe, 63 Sektoren/Spuren, 7 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes

               Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/mapper/usbstick1               1           7       56196   83  Linux

misterjack ~ # ls /dev/mapper/
control   media     usbstick

scheint nicht möglich zu sein

paoleela wrote:

aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein?

ich habe mit blowfish-cbc-essiv:sha256 und 256 bit key ca 19 MiB/s (auf 1.6 GHZ war mein Athlon XP-M während des Transfer-Tests getaktet). mit ext3 formatiert ;)
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
Evildad
Guru
Guru


Joined: 15 Apr 2004
Posts: 475

PostPosted: Sun Mar 26, 2006 11:24 am    Post subject: Reply with quote

Erstmal Danke für das Howto.

Ich habe aber noch eine Frage. Und zwar habe ich jetzt noch vor mehrere Partitionen zu verschlüsseln.
Crypto-mount kann aber leider ja bisher und so wie es aussieht auch noch für lange Zeit nur 1 Partition verwalten.
Gibt es also irgendeine simple Alternative für mehrere Crypto-Partitionen ?

Grüsse
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Fri Jun 23, 2006 9:25 pm    Post subject: Reply with quote

Ich habe das ganze mit cryptsetup verschlüsselt, gibt es die Möglichkeit das ganze auf cryptsetup-luks zu migrieren ohne die Daten irgendwo unverschlüsselt abspeichern zu müssen?

gruß ScytheMan
Back to top
View user's profile Send private message
flash49
Apprentice
Apprentice


Joined: 12 Feb 2005
Posts: 233

PostPosted: Sat Jun 24, 2006 7:42 am    Post subject: Reply with quote

Falls du damit einen Wechsel des Crypto-Setupprogramms meinst, dann ist das kein Problem, cryptsetup-luks kann auch mit dm-crypt Partitionen arbeiten. Falls du einen Wechsel der verschlüsselten Partition von dm-crypt nach Luks meinst, dann weiß ich das auch nicht. Ich hab auch schon danach gesucht, aber nichts gefunden. Allerdings ist meine Vermutung, das es nicht geht, da luks ja noch einen Header benötigt und für den dürfte bei einer dmcrypt Partition kein Platz mehr sein. :(
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Sat Jun 24, 2006 10:05 am    Post subject: Reply with quote

das cryptsetup-luks da abwärtskompatibel zu sein scheint, weiß ich..

es wäre also theoretisch möglich HDA (cryptsetup) zu mounten mit cryptsetup-luks und dann auf HDB mit cryptsetup-luks eine Verschlüsselte Partition (cryptsetup-luks) zu erstellen und das ganze dann rüberzukopieren?

gibt es für cryptsetup-luks auch sowas wie ein crypto-mount script?
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Wed Aug 30, 2006 12:31 pm    Post subject: Reply with quote

misterjack wrote:
Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge
Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:
http://de.gentoo-wiki.com/DM-Crypt


Hi,
vielleicht solltest du das ganze auf der 1. Seite nochmal schreiben.
auf Seite 10 sieht man es nicht direkt.

Tschö mit ö
Manuel
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
lorschy
Apprentice
Apprentice


Joined: 16 Jul 2002
Posts: 177

PostPosted: Thu Mar 22, 2007 5:14 pm    Post subject: Reply with quote

Auch wensn nimmer dem ssicherheitstechnischen stand entspricht, ich nutzt es immer noch bzw. ich versuche es.,
Habe das ganze vor ner weile auf meiner einen partition erstellt und konnte es auch nutzen.
Nun ist einiges an zeit vergangen und ich wollt mal wieder auf die daten zugreiffen.

nun wollte ich das mapper device ersetllen und es passsiert folgendes:
Code:
gpg --quiet -d movies.key.gpg | cryptsetup -h plain create dump /dev/sda1
[b]Command failed: Block device required[/b]
gpg: DBG: connection to agent established
gpg: WARNING: message was not integrity protected


Code:
fdisk /dev/sda

Disk /dev/sda: 250.0 GB, 250059350016 bytes
255 heads, 63 sectors/track, 30401 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot      Start         End      Blocks   Id  System

Command (m for help): q


Nun weiss ich nimmer ob das ganze ueber fdisk zu sehen war, aber ich kann mir die Fehlermeldung "Block device required" nicht anders erklaeren als das irgendwie die partition nimmer da ist.
Auf sda war nur eine partition (sda1) und das ganze teil war als ext3 formatiert - und wie gesagt es ging die ganze zeit.
Back to top
View user's profile Send private message
Mgiese
Veteran
Veteran


Joined: 23 Mar 2005
Posts: 1335
Location: indiana

PostPosted: Wed Nov 28, 2007 12:46 am    Post subject: Reply with quote

hi, leider ist der 1. post ja schon 3 jahre alt, kann den nicht mal jemand das howto aktuallisieren ? mich interessiert das thema erst seit kurzem und wenn ich dem howto des allerersten posts folge, komme ich schon hier nicht weiter :
Code:
# head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >TEST.key
bash: uuencode: command not found


als ich cryptsetup installieren wollte bekam ich ausserdem folgende probleme :

Code:
# emerge sys-fs/cryptsetup --pretend

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild  N    ] sys-fs/cryptsetup-1.0.5-r1  USE="nls -build -dynamic (-selinux)"
[blocks B     ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B     ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)
localhost usixq # emerge -C cryptsetup-luks && emerge sys-fs/cryptsetup


nun weiss ich nicht ob ich cryptsetup-luks evl doch benoetige, oder was der unterschied zwischen den 2 programmen ist.

spielt es eine rolle ob ich eine reiserfs oder ext3 partition nehme ?


mfg

EDIT : mein post hat sich erledigt, ich werde morgen mal diesem howto folgen : http://de.gentoo-wiki.com/DM-Crypt
_________________
I do not have a Superman complex, for I am God not Superman :D
Back to top
View user's profile Send private message
ezfox
n00b
n00b


Joined: 17 Jun 2004
Posts: 40
Location: Deutschland / Leipzig

PostPosted: Wed Mar 05, 2008 10:03 am    Post subject: Reply with quote

habe seit heute selbiges problem:

emerge -uDvp world

[ebuild N ] sys-fs/cryptsetup-1.0.5-r1 USE="nls -build -dynamic (-selinux)" 315 kB
[blocks B ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)

Total: 1 package (1 new, 2 blocks), Size of downloads: 315 kB

was brauch ich denn nun ? :?
_________________
"A mouse is a device used to point at the xterm you want to type in" - A.S.R.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3 ... , 9, 10, 11  Next
Page 10 of 11

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum