Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
mit welcher verschluesselung verschluesselt ihr festplatten?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Mon Feb 27, 2012 12:01 pm    Post subject: Reply with quote

Eine nichtzugängliche sichere genügend lange Passphrase benötigt keinerlei Doppelverschlüsselung. Es sei denn du bist masochistisch veranlagt und stehst auf Performanceverlust.
Wenn ersteres vorhanden ist, dann kommt man (für den Fall das P!=NP) nur über Seitenkanäle und Lücken im Verschlüsselungsalgorithmus auf die verschlüsselten Daten.
Eine Mehrfachverschlüsselung erfüllt hier also keinen weiteren Zweck, da eine VM nach unten hin keinerlei Zugriffe zulassen sollte.

Von hardwareverschlüsselnden Speichermedien würde ich Abstand nehmen, ich hätte bei solchen proprietären Lösungen zu sehr Angst vor Key Escrow oder einem simplen XOR.

Btw. auch manche AMD haben das aes-ni instruction set mittlerweile.
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Mon Feb 27, 2012 1:30 pm    Post subject: Reply with quote

wobei der Performance-Verlust nicht so hoch sein sollte wegen avx & aes-ni

du könntest einmal versuchen die erste Verschlüsselung mit AES (hardware-beschleunigt) zu machen und drinnen dann twofish oder serpent (langsam !) zu nehmen

da kommt keiner mehr durch

zusätzlich kannst du die SSE3-Beschleunigung für twofish, etc. und gethreadete Verschlüsselung (pcrypt) im Kernel aktivieren,

damit sollten weitesgehend normale Geschwindigkeiten erreichbar sein
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
Sujao
l33t
l33t


Joined: 25 Sep 2004
Posts: 677
Location: Germany

PostPosted: Mon Feb 27, 2012 2:41 pm    Post subject: Reply with quote

Ich stimme ScytheMan zu. Keiner wird sich die Mühe machen deine Mehrmachverschlüßelung zu knacken, entweder prügelt man aus dir die Passwörter heraus oder man installiert andere Überwachungsmethoden und kommt so rein. Die Übernahme eines Gentoo-Mirrors ist z.B. viel einfacher als das Bruteforcen eines einzigen 128Bit Schlüssels.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Mon Feb 27, 2012 4:47 pm    Post subject: Reply with quote

Nette Wiederbelebung! (Mai 2010 -> Februar 2012) 8O !

Es gibt nun sehr viele Methoden, ich frage mich nur, ob ich dich richtig verstanden habe: 200GB SSD und darin 10 VMs? SSD und viele Schreibzugriffe vertragen sich nicht wirklich. Aber darüber hinaus wundere ich mich ein wenig, denn dein text klingt so:

System (verschlüsselt)
-> /home (zusätzlich verschlüsselt)
--> /home/vm[1-10] (seperat verschlüsselt)

Also eine Dreifachverschlüsselung? Wofür? Was ist in den VMs drin? Denn eine dreifach Verschlüsselung bringt nicht so wirklich viel, wenn der Server am Netz hängt, und von draußen jemand direkt auf eine Windows-VM könnte (wie auch immer das anzustellen sei) ... Und selbst wenn die VM-Inhalte "sicher" sind, was so unglaublich wertvolles hast du, dass du glaubst so einen Aufwand betreiben zu müssen?

@Sujao: Gegen das "Herausprügeln" empfehle ich eine versteckte TrueCrypt-Partition. ;) "Klar, hier mein Passwort." - "bah. Da ist ja garnix interessantes." :D
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
AmonAmarth
l33t
l33t


Joined: 03 Mar 2005
Posts: 727

PostPosted: Tue Feb 28, 2012 12:59 am    Post subject: Reply with quote

Yamakuzure wrote:
@Sujao: Gegen das "Herausprügeln" empfehle ich eine versteckte TrueCrypt-Partition. ;) "Klar, hier mein Passwort." - "bah. Da ist ja garnix interessantes." :D

klar und dann: "komisch, die partition ist nur 1GB groß obwohl die platte ein TB hat. was ist denn mit dem rest? unfähig bei dem knowhow eine festplatte vernünftig zu partitionieren? müssen wir wohl noch was finger abhacken..."
Back to top
View user's profile Send private message
b3cks
Veteran
Veteran


Joined: 23 Mar 2004
Posts: 1481
Location: Bremen (GER)

PostPosted: Tue Feb 28, 2012 8:22 am    Post subject: Reply with quote

AmonAmarth wrote:
Yamakuzure wrote:
@Sujao: Gegen das "Herausprügeln" empfehle ich eine versteckte TrueCrypt-Partition. ;) "Klar, hier mein Passwort." - "bah. Da ist ja garnix interessantes." :D

klar und dann: "komisch, die partition ist nur 1GB groß obwohl die platte ein TB hat. was ist denn mit dem rest? unfähig bei dem knowhow eine festplatte vernünftig zu partitionieren? müssen wir wohl noch was finger abhacken..."

Zumal, wer macht sich die Mühe sein "Fake-System" forensisch sicher aussehen zu lassen? "Hm, irgendwie finden hier sehr selten Datenzugriffe und Schreibvorgänge statt. Letzter Login war vor 6 Monaten. Wie und wofür nutzen Sie das System denn?" Da muss man sich schon eine gute Ausredestrategie überlegen (alle Daten online, alles im "Private"-Mode, VPN, keine Logs, ...).
_________________
I am /root and if you see me laughing you better have a backup.
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Tue Feb 28, 2012 12:51 pm    Post subject: Reply with quote

b3cks wrote:
AmonAmarth wrote:
Yamakuzure wrote:
@Sujao: Gegen das "Herausprügeln" empfehle ich eine versteckte TrueCrypt-Partition. ;) "Klar, hier mein Passwort." - "bah. Da ist ja garnix interessantes." :D

klar und dann: "komisch, die partition ist nur 1GB groß obwohl die platte ein TB hat. was ist denn mit dem rest? unfähig bei dem knowhow eine festplatte vernünftig zu partitionieren? müssen wir wohl noch was finger abhacken..."

Zumal, wer macht sich die Mühe sein "Fake-System" forensisch sicher aussehen zu lassen? "Hm, irgendwie finden hier sehr selten Datenzugriffe und Schreibvorgänge statt. Letzter Login war vor 6 Monaten. Wie und wofür nutzen Sie das System denn?" Da muss man sich schon eine gute Ausredestrategie überlegen (alle Daten online, alles im "Private"-Mode, VPN, keine Logs, ...).
da habt ihr wohl etwas falsch verstanden. Die Punkte Verstecktes Betriebssystem und Verstecktes Laufwerk sind schon recht interessant. (Zitat: "It should be impossible to prove that a hidden TrueCrypt volume exists..., it should be impossible to prove that a hidden operating system exists.")

Edith merkte an: Es wird die Gesamtgröße angezeigt. Hat das Laufwerk 1TB, zeigt auch der offizielle Teil vor einem "versteckten" 1TB, nicht nur 1GB. Die Annahme ist also völlig falsch, AmonAmarth. (Ich habs ausprobiert. ;))
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
b3cks
Veteran
Veteran


Joined: 23 Mar 2004
Posts: 1481
Location: Bremen (GER)

PostPosted: Wed Feb 29, 2012 8:03 am    Post subject: Reply with quote

@Yamakuzure: Was ich meine, und wenn ich das korrekt verstanden habe, ist folgendes. Wenn man das Feature "Hidden Operating System" nutz, hat man (mindestens) zwei Betriebssysteme installiert, wovon eines versteckt und dessen Existenz nicht nachweisbar ist (plausible deniability). Je nachdem welche Passphrase ich beim Booten eingebe, startet entweder das normale bzw. das versteckte System. Mein Hauptsystem wird wegen dessen Nichtnachweisbarkeit das versteckte sein, was ich also regelmäßig nutze und wo ich Spuren hinterlasse. Mein Alibi-/Fake-System werde ich in der Regel nicht nutzen und ich glaube nicht, dass sich jeder die Mühe mach dort täglich einzuloggen, um eine normale Nutzung vorzugaukeln. Wenn man also wirklich mal in die Bredouille gelangt seine Passphrase offen legen zu müssen und sich dann in Sicherheit wiegelt, weil man die des Alibi-Systems angibt, wird spätetens ein Forensiker binnen kürzerer Zeit anzweifeln, dass dies das üblich verwendete Betriebssystem sein soll. Außer man legt sich eine passende Strategie zurecht. Das meinte ich damit.

PS: Ja, wir spielen das ein wenig hoch. In vielen Ländern kann man noch nicht dazu gezwungen werden derartige Daten offen legen zu müssen und ein Zoll-Beamter an der Grenze ist auch kein Forensiker.
_________________
I am /root and if you see me laughing you better have a backup.
Back to top
View user's profile Send private message
tulali
n00b
n00b


Joined: 27 Feb 2012
Posts: 17

PostPosted: Sat Mar 03, 2012 11:32 am    Post subject: Reply with quote

ecb, cbc, lrw oder xts?
welches sollte für ein 240gig ssd mit ext4 benutzt werden?
welches sollte für eine 3tb festplatte mit ext4 benutzt werden?
Back to top
View user's profile Send private message
tulali
n00b
n00b


Joined: 27 Feb 2012
Posts: 17

PostPosted: Mon Mar 05, 2012 11:36 am    Post subject: Reply with quote

... was denkt ihr?!
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Mon Mar 05, 2012 2:10 pm    Post subject: Reply with quote

tulali wrote:
... was denkt ihr?!


in der Zeit hättest du nach allem googeln,

dir die Abbildungen in wikipedia anschauen und es evtl. sogar selbst ausprobieren können


ich sage: XTS

(kommt wie immer auf die Kernel-Version an, die du verwenden willst bzw. musst)
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
tulali
n00b
n00b


Joined: 27 Feb 2012
Posts: 17

PostPosted: Wed Mar 07, 2012 10:34 am    Post subject: Reply with quote

aktuellen 3.1 oder 3.2 kernel ...

aber ist xts genauso wie lrs nicht noch zu experimentel?
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Wed Mar 07, 2012 10:53 pm    Post subject: Reply with quote

tulali wrote:
aktuellen 3.1 oder 3.2 kernel ...

aber ist xts genauso wie lrs nicht noch zu experimentel?


ich verwende es ungefähr, seit es verfügbar ist

und hatte bis jetzt noch keine Probleme damit - alle Daten sind noch da ^^

dass es EXPERIMENTAL genannt wird, bedeutet nicht unbedingt viel,

evtl. hat ja sogar jemand vergessen das zu entfernen :P


reiser4 z.B. wurde (und wird immer noch) EXPERIMENTAL genannt und dennoch stabiler als so einige aktuellen Dateisystem (bevor die ganzen Änderungen im Kernel kamen und es etwas instabiler wurde - die Datenintegrität ist z.B. trotzdem 100% gewährleistet) - nur so am Rande


jedenfalls wird CBC, ESSIV, soviel ich weiß bei Ubuntu standardmäßig verwendet,

mit XTS fahre ich (und wie ich von anderen ebenfalls gelesen habe) recht gut damit




vielleicht können die anderen ja noch ihre Erfahrung dazu posten :)
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
tulali
n00b
n00b


Joined: 27 Feb 2012
Posts: 17

PostPosted: Tue Mar 13, 2012 5:37 am    Post subject: Reply with quote

Wie verhällt es sich denn mit Festplatten die über 2TB gross sind?

Ist ext4 überhaupt empfehlenswert ... oder sollte besser ReiserFS verwendet werden auf verschlüsselten Laufwerken?

Was passiert wenn mal ein Stromausfall kommt? Mit welchem Dateiensystem und Verschlüsselung hat man die besten Möglichkeiten sogut wie keinen Datenverlust zuerleiden?
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Tue Mar 13, 2012 1:14 pm    Post subject: Reply with quote

tulali wrote:
Mit welchem Dateiensystem und Verschlüsselung hat man die besten Möglichkeiten sogut wie keinen Datenverlust zuerleiden?


mit einem backup.

ein dateisystem sollte in allererster linie performant und korrekt arbeiten. für eventualitäten würde ich mich nicht über das dateisystem absichern.
Back to top
View user's profile Send private message
nowo
n00b
n00b


Joined: 02 Aug 2011
Posts: 15
Location: Potsdam

PostPosted: Tue Mar 13, 2012 2:44 pm    Post subject: Reply with quote

Na ja. Yin und Yang. Natürlich geht nichts über ein Backup. Aber man will ja _trotz_ Performance nicht bei jeder kleinen Inkonsistenz gleich das Backup aufspielen. Denn das ist entweder inaktuell oder vom Pflegeaufwand her nicht tragbar. Ein weiterer Grund, möglichst nicht auf Backups angewiesen sein zu wollen, ist Ausfallsicherheit. Deswegen verwenden Server manchmal RAID-Systeme, wo bestimmte Fehler in den Massenspeichern zu keinerlei Datenverlust führen und kein separates Backup eingespielt werden muss, was dann wieder eine Downtime bewirken würde.

Aber die Frage bezog sich ja auf Dateisysteme. Da lautet das Stichwort Journaling, was die Konsistenz angeht. Damit werden nicht abgeschlossene Transaktionen häufig nicht zu einem Problem. Die meisten aktuellen Dateisysteme können das. Bekannte Dateisysteme ohne Journaling sind FAT und ext2. Bei ext4 kann man es zumindest abstellen.

Bezüglich Datenredundanz hab ich keine Ahnung, ob das auch auf Dateisystemebene unterstützt wird. Das tät mich auch mal interessieren.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6
Page 6 of 6

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum