View previous topic :: View next topic |
Author |
Message |
JoHo42 l33t
Joined: 14 Feb 2004 Posts: 956 Location: Germany
|
Posted: Sat Jan 16, 2016 7:05 am Post subject: Verschlüsseln von Daten: Was ist die bessere Möglichkeit |
|
|
Hi Leute,
ich würde gerne mehrere Verzeichnisse verschlüsseln in denen Daten liegen.
Bisher wurde von mir die Festplatte immer in einem Verschlüsselten Bereich aufgeteilt.
Dabei muss ich schon vom ersten Tag an wissen wie groß die Datenmenge ist oder werden kann.
Sonst verschenke ich unnützen Speicher.
Gibt es eine Möglichkeit die Daten in eine Virtuelle Festplatte zu packen.
Einfach nur eine Verschlüsselte Datei, die sich aber genauso verhält wie eine Festplatte.
Eine Datei die dynamisch sich der größe anpasst?
Gruss Jörg |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Sat Jan 16, 2016 3:25 pm Post subject: |
|
|
Oder sys-fs/encfs.
Oder mit halbwegs aktuellem Kernel auch die ext4-eigene Verschlüsselung.
Erfahrung (gute) habe ich diesbezüglich bislang nur mit encfs: Hauptvorteil ist, dass das auf so ziemlich allen Rechnern läuft, auch auf weniger aktuellen. |
|
Back to top |
|
|
JoHo42 l33t
Joined: 14 Feb 2004 Posts: 956 Location: Germany
|
Posted: Sat Jan 16, 2016 3:31 pm Post subject: |
|
|
Hi Leute,
danke für die schnellen Vorschläge.
Das ist genau das was ich suche. Jetzt habe ich die Wahl welches ist das bessere. Der zweite Vorschlag mit encfs ist schonmal nicht im Portage gemask.
Also ich stabile Zweig aufgenommen und es gibt dazu eine KDE Oberfläche obwohl ich diese nicht brauchen werde.
Gruss Jörg |
|
Back to top |
|
|
kernelOfTruth Watchman
Joined: 20 Dec 2005 Posts: 6111 Location: Vienna, Austria; Germany; hello world :)
|
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Sun Jan 17, 2016 2:25 pm Post subject: |
|
|
encfs benutze ich selbst, und es funktioniert gut.
Scheinbar hat es aber ein paar prinzipielle Designschwächen, also evtl. ist es nicht für super-geheime Daten geeignet. Was definitiv der Fall ist: Die Metadaten der verschlüsselten Verzeichnisse sind sichtbar, also die Anzahl der Verzeichnisse und Dateien, sowie deren Größe, Änderungsdaten etc.
Stört mich persönlich jetzt nicht für meinen Einsatzzweck, ich wollte es bloß mal gesagt haben ;-) |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Mon Jan 18, 2016 10:53 am Post subject: |
|
|
l3u wrote: | Die Metadaten der verschlüsselten Verzeichnisse sind sichtbar, also die Anzahl der Verzeichnisse und Dateien, sowie deren Größe, Änderungsdaten etc |
Das ist m.W. auch bei den anderen beiden Möglichkeiten (ecryptfs bzw. dessen "Nachfolger" ext4-intern) der Fall.
Es wird sozusagen "filewise" versclüsselt, wobei der Filename allerdings auch verschlüsselt wid.
Ja, es gab mal irgendeinen Bericht, wo encfs auf Sicherheit analysiert wude, und einige theoretische Schwächen aufgezeigt wurden. Aber m.E. nichts Ernsthaftes, was bei einem solchen Verfahren nicht sowieso zu erwarten wäre; keine konkreten Implementierungsfehler oder echt Problematisches wie die Wahl eines schwacen Algorithmus. Sondern eben so Dinge wie die Sichtbarkeit der Metadaten und dass man durch die Namensveschlüsselung möglicherweise einen gewissen known-plaintext hat u.ä. - was ohne echte Brechung des Algorithmus kein Problem sein sollte. |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Mon Jan 18, 2016 7:05 pm Post subject: |
|
|
Nachdem ich jetzt mal nachgelesen habe, ist wahrscheinlich die ext4-interne Verschlüsselung in Zukunft das, was man nehmen will. Aber die e2fsprogs, die man dafür braucht, sind leider noch nicht einmal veröffentlicht. Ob man da mit git-Versionen experimentieren will, sei jedem selbst überlassen. Liest sich jedenfalls sehr vielversprechend. |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Mon Jan 18, 2016 9:43 pm Post subject: |
|
|
l3u wrote: | Nachdem ich jetzt mal nachgelesen habe, ist wahrscheinlich die ext4-interne Verschlüsselung in Zukunft das, was man nehmen will. |
Im Moment kann man das halt auf vielen Systemen nicht bekommen. Beispielsweise wird vermutlich rescuecd die Sache noch nicht unterstützten (wenn Du nicht selbst vorher an der CD rumbastelst, natürlich). Oder wenn Du eine Festplatte auf Reisen mit dieser Verschlüsselung mitnimmst, kannst Du z.B. auf einem aktuellen Ubuntu/Debian/...-Rechner sicher auch nichts mit den verschlüsselten Daten anfangen.
Das sind zumindest für mich Gründe, weshalb ich noch nicht einmal ernsthaft an eine Umstellung denke. Vielleicht in ein paar Jahren... wenn ich dann immer noch nicht btrfs benutzen will... |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Tue Jan 19, 2016 7:40 pm Post subject: |
|
|
Deswegen ja auch „in Zukunft“ ;-) |
|
Back to top |
|
|
mv Watchman
Joined: 20 Apr 2005 Posts: 6747
|
Posted: Wed Feb 10, 2016 8:00 am Post subject: |
|
|
Gerade habe ich den Link zu den encfs-Problemen wieder gefunden: https://defuse.ca/audits/encfs.htm
Die Problematik bei der angeblich großen Lücke der Stream-Cipher im letzten Block erschließt sich mir nicht (solange die 1-way-Funktion sicher ist). |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Thu Feb 11, 2016 4:36 pm Post subject: |
|
|
Der Vollständigkeit halber, ext4 kann theoretisch per Directory Verschlüsselung, leider in der Praxis noch nicht nutzbar. Sollte man aber für die Zukunft im Kopf behalten.
Bye
Py |
|
Back to top |
|
|
l3u Advocate
Joined: 26 Jan 2005 Posts: 2545 Location: Konradsreuth (Germany)
|
Posted: Thu Feb 11, 2016 4:39 pm Post subject: |
|
|
Wenn's ein Release der e2fsprogs gibt, das das kann (momentan müsste man git master bauen), dann könnt man's ja zumindest mal antesten … aber momentan ist mir das auch noch zu heiß. Die entsprechende Kerneloption ist jedenfalls im aktuellen Stable-Mainline-Kernel drin. |
|
Back to top |
|
|
|