Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
mit welcher verschluesselung verschluesselt ihr festplatten?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
Sujao
l33t
l33t


Joined: 25 Sep 2004
Posts: 677
Location: Germany

PostPosted: Fri Jul 31, 2009 1:03 pm    Post subject: Reply with quote

Hab seit ca 4-5 Jahren XFS ohne jemals ein Problem gehabt zu haben und seit 1,7 Jahren XFS und ext3 und ebenfalls niemals Probleme gehabt.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Fri Jul 31, 2009 6:20 pm    Post subject: Reply with quote

Einschläge bei AES-256 kommen näher -> http://www.heise.de/newsticker/meldung/142899
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Sat Aug 01, 2009 2:43 pm    Post subject: Reply with quote

pieter_parker wrote:
Einschläge bei AES-256 kommen näher -> http://www.heise.de/newsticker/meldung/142899
Haha!
Quote:
Der Angriff gegen AES-256 mit neun Runden benötigt Zeit in der Größenordnung 2^39, die selbst ein regulärer PC bewältigen kann, und mit zehn Runden 2^45. Der Zeitaufwand gegen elf Runden liegt mit 2^70 jedoch knapp oberhalb der Durchführbarkeit.
Und weiter unten:
Quote:
AES-256 verwendet standardmäßig 14 Runden.
Alleine mit der Steigerung von 10 auf 11 Runden zeigt, wie es wohl bei 12 aussieht. :D Da sind 14 wohl noch eine Weile recht sicher....
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
think4urs11
Bodhisattva
Bodhisattva


Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud

PostPosted: Sun Aug 02, 2009 2:10 pm    Post subject: Reply with quote

pieter_parker wrote:
Einschläge bei AES-256 kommen näher -> http://www.heise.de/newsticker/meldung/142899

Aber eben nur -256. AES128 kann weiterhin als sicher angesehen werden.
Bei -192/-256 ist es bedingt durch die zu niedrige Anzahl der Runden vergleichsweise leichter den Schlüssel herauszubekommen.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Wed Aug 05, 2009 10:35 pm    Post subject: Reply with quote

hab seit ein paar monaten eine 1tb festplatte mit luks und aes verschluesselt
hab die festplatte mit aes-cbc-essiv verschluesselt
auf der festplatte sind ca 200.000 dateien
texte, bilder, musik und videodateien
wenn ich ein verzeichnis erstellen will dauert es 3 bis 5 sekunden bis es erstellt ist (sehe im gkrellm das er in der zeit mit 400...700kb/s liest)
das kopieren von dateien geht mit bis zu 70mb/s aber ich sehe bei munin das es sehr viele io-wait erzeugt
ich bin nicht wirklich zu frieden damit
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Thu Aug 06, 2009 9:15 am    Post subject: Reply with quote

pieter_parker wrote:
wenn ich ein verzeichnis erstellen will dauert es 3 bis 5 sekunden bis es erstellt ist

Bist Du sicher, dass das ein Problem der Verschluesselung ist? Das klingt eher so, als wenn sich die Platte zwischenzeitlich schlafengelegt hat und erst wieder hochlaeuft.
Quote:
aber ich sehe bei munin das es sehr viele io-wait erzeugt

USB-Platte? Moeglicherweise kann die Platte bei Dir wegen Hardwareinkompatibilität nicht im optimalen Modus betrieben werden. Bist Du sicher, dass das nicht auch ohne Verschluesselung auftritt?

Außerdem: Hast in /etc/modules.d Aliase für die prozessoroptimierten Algorithmen gesetzt, oder benutzt Du nur die generischen?
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Tue Aug 11, 2009 1:59 pm    Post subject: Reply with quote

mv wrote:

Außerdem: Hast in /etc/modules.d Aliase für die prozessoroptimierten Algorithmen gesetzt, oder benutzt Du nur die generischen?

sry fürs hijacken, aber muss man das (spreche jetzt von dem aes modul das es ja generisch und als 64bit optimierte version gibt)?
Angenommen ich baue es fest in den Kernel ein, wie mache ich dann davon Nutzen? Ich dachte der Kernel nutzt die optmierte Version automatisch.

gruß ScytheMan
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Tue Aug 11, 2009 9:54 pm    Post subject: Reply with quote

ScytheMan wrote:
Ich dachte der Kernel nutzt die optmierte Version automatisch.

Die optimierte Version ist ja anscheinend als eigenes Modul implementiert, nicht nur als "Verbesserung" einiger Code-Teile des alten Moduls. Weshalb sollte der Kernel also automatisch ein per Userspace explizit angefordertes Modul gegen ein anderes austauschen? (Falls er nicht mit "alias" dazu angewiesen wurde?). Sicher war ich zunaechst auch nicht, aber einfache Benchmarks reichen aus, das zu bestaetigen.
Back to top
View user's profile Send private message
kernelOfTruth
Watchman
Watchman


Joined: 20 Dec 2005
Posts: 6111
Location: Vienna, Austria; Germany; hello world :)

PostPosted: Tue Aug 11, 2009 10:09 pm    Post subject: Reply with quote

Quote:
4.2.  Implementing a cipher

A cipher is the basic of an cryptographic encryption algorithm that can be registered. The user has to fill the struct crypto_alg, and the struct cipher_alg which is embedded in the first one.
 
1struct crypto_alg { 
2     struct list_head cra_list; 
3     struct list_head cra_users; 

5     u32 cra_flags; 
6     unsigned int cra_blocksize; 
7     unsigned int cra_ctxsize; 
8     unsigned int cra_alignmask; 

10     int cra_priority; 
11     atomic_t cra_refcnt; 
12 
13     char cra_name[CRYPTO_MAX_ALG_NAME]; 
14     char cra_driver_name[CRYPTO_MAX_ALG_NAME]; 
15 
16     const struct crypto_type *cra_type; 
17 
18     union { 
19           struct ablkcipher_alg ablkcipher; 
20           struct blkcipher_alg blkcipher; 
21           struct cipher_alg cipher; 
22           struct digest_alg digest; 
23           struct hash_alg hash; 
24           struct compress_alg compress; 
25     } cra_u; 
26 
27     int (*cra_init)(struct crypto_tfm *tfm); 
28     void (*cra_exit)(struct crypto_tfm *tfm); 
29     void (*cra_destroy)(struct crypto_alg *alg); 
30 
31     struct module *cra_module; 
32}; 
33 
34struct cipher_alg { 
35     unsigned int cia_min_keysize; 
36     unsigned int cia_max_keysize; 
37     int (*cia_setkey)(struct crypto_tfm *tfm, const u8 *key, 
38                unsigned int keylen); 
39     void (*cia_encrypt)(struct crypto_tfm *tfm, u8 *dst, const u8 *src); 
40     void (*cia_decrypt)(struct crypto_tfm *tfm, u8 *dst, const u8 *src); 
41};
Listing 4.1: struct crypto_alg and struct cipher_alg
Here is a brief description of the most important fields from listing 4.1:
cra_flags This field determines the type of the crypto algorithm. In the case of
CRYPTO_ALG_TYPE_CIPHER it treats the algorithm as an cipher and the member cipher within cra_u is accessed, in the case of CRYPTO_ALG_TYPE_DIGEST the digest member is accessed.
cra_blocksize The block size which the algorithm expects.
cra_ctxsize The size of the private context which is used to identify the state.
cra_alignmask The alignmask that is required by the algorithm. Some algorithms require a special alignment of their private context data structure or the data that they have to process.
cra_priority The priority of the algorithm. Usually generic implementations of an algorithm have a priority of 100, assembly optimized 200 and hardware support 300. The API takes the algorithm with the highest priority if there is more than one available.


Quelle: http://diploma-thesis.siewior.net/html/diplomarbeitch4.html

somit dürfte im Idealfall die Software bzw. userspace selbst das passende assembler-basierte Module (falls vorhanden) verwenden :)

update:

also anscheinend fehlt cryptsetup diese funktion optimierte module zu erkennen (stand 2007):

http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg400433.html
Quote:

Bug#445186: cryptsetup: Please load optimized cipher kernel modules by default
: http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg400205.html

wenn jemand mehr darüber weiß - nur zu :)

ich würde gerne meine datei transfers mit verschlüsselung beschleunigen

update2:

sorry falls ich nur stuss schreib - ich komm im mom. zu recht wenig schlaf :roll:

anscheinend beziehen sich die patches nur auf das laden von asm-Modulen, dass diese unterstützt werden - davon wird auszugehen sein ....
_________________
https://github.com/kernelOfTruth/ZFS-for-SystemRescueCD/tree/ZFS-for-SysRescCD-4.9.0
https://github.com/kernelOfTruth/pulseaudio-equalizer-ladspa

Hardcore Gentoo Linux user since 2004 :D
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Wed Aug 12, 2009 6:43 pm    Post subject: Reply with quote

kernelOfTruth wrote:
ich würde gerne meine datei transfers mit verschlüsselung beschleunigen

Falls ich die alias-Geschichte unklar formuliert haben sollte. Bei mir sieht es so aus:
/etc/modoprobe.d/x86_64.conf wrote:
#alias aes aes-x86_64
alias aes aes-ni_intel
alias salsa20 salsa20-x86_64
alias twofish twofish-x86_64
bzw.
/etc/modprobe.d/i586.conf wrote:
alias aes aes-i586
alias salsa20 salsa20-i586
alias twofish twofish-i586

Ob dies das empfohlene Vorgehen ist, weiss ich nicht, aber die cryptsetup-Partionen sind damit merklich schneller geworden.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Thu Aug 13, 2009 12:26 pm    Post subject: Reply with quote

Erste Passwort-Erzwingungshaft in Großbritannien
In Großbritannien sind zwischen 1. April 2008 und 31. März 2009 erste Haftstrafen verhängt worden, weil Beschuldigte die Herausgabe von Passwörtern bzw. von kryptografischen Schlüsseln verweigerten
http://www.heise.de/newsticker/meldung/143462

wie ist das bei uns in .de ?
Back to top
View user's profile Send private message
ScytheMan
l33t
l33t


Joined: 30 Nov 2005
Posts: 605

PostPosted: Thu Aug 13, 2009 12:50 pm    Post subject: Reply with quote

sowas wie beugehaft für passwörter gibts imho in deutschland (noch) nicht, ansonst hilft nur plausible deniability :)
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Sat Aug 15, 2009 6:42 am    Post subject: Reply with quote

mv wrote:
bzw.
/etc/modprobe.d/i586.conf wrote:
alias aes aes-i586
alias salsa20 salsa20-i586
alias twofish twofish-i586


Ich weiß nicht, ob das wirklich nötig ist - ich habe das nicht eingestellt, dennoch sagt bei mir lsmod folgendes:

Code:

Module                  Size  Used by
aes_i586                7892  12
aes_generic            26932  1 aes_i586

_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sat Aug 15, 2009 9:04 am    Post subject: Reply with quote

schachti wrote:
ich habe das nicht eingestellt, dennoch sagt bei mir lsmod folgendes:

Code:

Module                  Size  Used by
aes_i586                7892  12
aes_generic            26932  1 aes_i586

lsmod gibt ja keine Auskunft darüber, welche Module benutzt werden, sondern nur, welche geladen wurden: Es spiegelt eher das wieder, was in Deiner /etc/conf.d/modules steht (falls Du baselayout-2 benutzt; wie das bei baselayout-1 war, habe ich schon lange vergessenI).
Die Module werden ja nicht automatisch von cryptsetup geladen (außer, das ist in den letzten Versionen geändert worden), sondern cryptsetup spricht nur die geladenen Module an und gibt einen (IIRC ziemlich unverständlichen) Fehler aus, wenn sie nicht geladen wurden.
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Sat Aug 15, 2009 10:15 am    Post subject: Reply with quote

Also ich habe einfach das jeweils richtige AES Modul im Kernel drin, das andere erst garnicht aktiviert. Da brauche ich doch nicht den Unsinn mit mod aliases usw.

Einfach gleich das richtig auswählen und gut ist.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
mv
Watchman
Watchman


Joined: 20 Apr 2005
Posts: 6747

PostPosted: Sat Aug 15, 2009 10:41 am    Post subject: Reply with quote

Anarcho wrote:
Also ich habe einfach das jeweils richtige AES Modul im Kernel drin, das andere erst garnicht aktiviert.

Das geht nicht immer, etwa wenn man den selben Kernel auf mehreren Rechnern haben will. Außerdem ist nicht ganz klar, ob dies den gewünschten Effekt hat: Für CONFIG_CRYPTO_AES_586 musst Du CONFIG_CRYPT_AES automatisch mitselektieren. (Zum Vergleich: Bei CONFIG_CRYPTO_TWOFISH_586 wird nur CONFIG_CRYPTO_TWOFISH_COMMON nicht aber CONFIG_CRYPTO_TWOFISH mitselektiert.)
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Sun Aug 16, 2009 3:21 pm    Post subject: Reply with quote

mv wrote:
lsmod gibt ja keine Auskunft darüber, welche Module benutzt werden, sondern nur, welche geladen wurden: Es spiegelt eher das wieder, was in Deiner /etc/conf.d/modules steht (falls Du baselayout-2 benutzt; wie das bei baselayout-1 war, habe ich schon lange vergessenI).
Die Module werden ja nicht automatisch von cryptsetup geladen (außer, das ist in den letzten Versionen geändert worden), sondern cryptsetup spricht nur die geladenen Module an und gibt einen (IIRC ziemlich unverständlichen) Fehler aus, wenn sie nicht geladen wurden.


Ich lade keine AES-Module explizit, sondern die werden automatisch von cryptsetup (oder pam_mount) geladen. Über /etc/conf.d/modules lade ich nur nvidia, aufs, fuse und die VirtualBox-Module. Und die Spalte count in der Ausgabe von lsmod gibt an, wie oft das Modul genutzt wird.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Mon Aug 17, 2009 6:54 pm    Post subject: Reply with quote

wenn ich so um die 50mb/s an datendurchsatz haben moechte und eine intel atom cpu mit 2 kernen verwende, welche verschluesselung koennte ich dann fuer die festplatte im besten fall benutzen ?

gibt es kein geraet das ich zwischen mainboardsataport und festplattesataport haenge das mir die daten ent und ver -schluesselt ? meine fuer ide mal soetwas gesehen zuhaben ...
Back to top
View user's profile Send private message
avx
Advocate
Advocate


Joined: 21 Jun 2004
Posts: 2152

PostPosted: Mon Aug 17, 2009 8:52 pm    Post subject: Reply with quote

Quote:
wenn ich so um die 50mb/s an datendurchsatz haben moechte und eine intel atom cpu mit 2 kernen verwende
Könnte schwierig werden, ich schaff das mit ach und krach auf einem E6600 - gut, bei mir ist's auch Serpent. Wenn's um Speed geht, dürfte Blowfish bei dem System wohl erste Wahl sein.

Quote:
gibt es kein geraet das ich zwischen mainboardsataport und festplattesataport haenge das mir die daten ent und ver -schluesselt ?
Klar gibt es Crypto-Karten, z.B. von Sun, die sind aber alles andere als billig(600€+, jedenfalls bei meinen Bedürfnissen).
Back to top
View user's profile Send private message
Yamakuzure
Advocate
Advocate


Joined: 21 Jun 2006
Posts: 2280
Location: Adendorf, Germany

PostPosted: Tue Aug 18, 2009 8:51 am    Post subject: Reply with quote

pieter_parker wrote:
Erste Passwort-Erzwingungshaft in Großbritannien
In Großbritannien sind zwischen 1. April 2008 und 31. März 2009 erste Haftstrafen verhängt worden, weil Beschuldigte die Herausgabe von Passwörtern bzw. von kryptografischen Schlüsseln verweigerten
Lösung: TrueCrypt benutzen und "Hidden Volumes" erstellen. ;-)
_________________
Important German:
  1. "Aha" - German reaction to pretend that you are really interested while giving no f*ck.
  2. "Tja" - German reaction to the apocalypse, nuclear war, an alien invasion or no bread in the house.
Back to top
View user's profile Send private message
avx
Advocate
Advocate


Joined: 21 Jun 2004
Posts: 2152

PostPosted: Tue Aug 18, 2009 2:37 pm    Post subject: Reply with quote

Quote:
Lösung: TrueCrypt benutzen und "Hidden Volumes" erstellen.
Na, das ist wieder so ein "Argument", was einem in dieser Situation mehr Ärger einbringt als es nutzt.

Wenn die nicht beweisen können, dass es existiert, kannst du auch nicht beweisen, dass es nicht existiert - ausser natürlich man legt alles offen. Bei einem Gegner, der nicht fair spielt, beisst man sich damit selbst ziemlich in den Hintern.
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sat Nov 07, 2009 1:13 pm    Post subject: Reply with quote

in raum1 steht computer1 (itx intel atom mainboard)
in raum2 steht computer2 (mittelgrosser server computer, ausreichend leistung)
raum1 ist von raum2 etwa 12m per kabelweg entfernt, es liegen netzwerkkabel

an computer1 sind 2 sata wechselfestplatten mit je 2tb groesse angeschlossen und die sollen an computer2 gemountet werden
die wechselfestplatten sollen verschluesselt werden

die festplatten per dm_crypt in computer1 einhaengen und dann eine nfs freigabe darauf ?
oder die festplatten unverschluesselt in computer1 einhaengen und dann computer2 eine 2tb grosse verschluesselte datei erstellen lassen die dann in computer2 eingehangen wird?

wie wuerdet ihr es machen ?
Back to top
View user's profile Send private message
papahuhn
l33t
l33t


Joined: 06 Sep 2004
Posts: 626

PostPosted: Sat Nov 07, 2009 1:34 pm    Post subject: Reply with quote

Für sowas wären Network Block Devices prädestiniert. Ich hab das mal vor Jahren getestet, aber das wars noch nicht ganz stabil. Vielleicht ist es heute besser geworden.

pieter_parker wrote:
in raum1 steht computer1 (itx intel atom mainboard)
in raum2 steht computer2 (mittelgrosser server computer, ausreichend leistung)
raum1 ist von raum2 etwa 12m per kabelweg entfernt, es liegen netzwerkkabel

an computer1 sind 2 sata wechselfestplatten mit je 2tb groesse angeschlossen und die sollen an computer2 gemountet werden
die wechselfestplatten sollen verschluesselt werden

die festplatten per dm_crypt in computer1 einhaengen und dann eine nfs freigabe darauf ?
oder die festplatten unverschluesselt in computer1 einhaengen und dann computer2 eine 2tb grosse verschluesselte datei erstellen lassen die dann in computer2 eingehangen wird?

wie wuerdet ihr es machen ?

_________________
Death by snoo-snoo!
Back to top
View user's profile Send private message
pieter_parker
Veteran
Veteran


Joined: 07 Aug 2006
Posts: 1488
Location: 127.0.0.1

PostPosted: Sun Nov 08, 2009 3:43 pm    Post subject: Reply with quote

koennen nbd festplatten auch jederzeit in andere computer eingebaut werden und dann da benutzt werden ?
welche nachteile bringt es wenn ueber das netzwerk und die nfs freigabe in einer 2tb grossen verschluesselten datei geschrieben und von gelesen wird ?
Back to top
View user's profile Send private message
schachti
Advocate
Advocate


Joined: 28 Jul 2003
Posts: 3765
Location: Gifhorn, Germany

PostPosted: Sun Nov 08, 2009 3:52 pm    Post subject: Reply with quote

Die Verschlüsselung sollte der Rechner machen, an dem die Platten hängen.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6  Next
Page 4 of 6

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum