partition verschlüsseln mit dmcrypt

[Anarcho]

Interessant für alle die einen 64Bit Kernel haben:

Ab dem 2.6.13 Kernel ist der AES Cypher in 64Bit Assember geschrieben.

Bei mir bringt das ca. 20 % mehr Leistung als noch mit dem 2.6.12er. Das nenn ich mal nen Sprung nur durch ein Kernel update.

2.6.12: ~33 MB/s
2.6.13: ~40 MB/s

Allerdings heisst die Config Option jetzt CONFIG_CRYPTO_AES_X86_64, daher könnt ihr nicht einfach eure alte Kernel-config verwenden.
Einmal ins menuconfig rein und Schalter setzen.

[return13]

danke fürs Tut.
Wenn du willst kannst du noch ergänzen das man das Paket app-arch/sharutils braucht für uuencode

[e-tho]

Hallo Forum,
erstmal vielen Dank für die guten Tipps, Anleitungen und Tools zum Thema verschlüsseln.

Dank dieser Hilfen habe ich seit einiger Zeit eine verschlüsselte Partition die ich nur mounte wenn ich sie brauche, alles arbeitet wunderbar...
Beim rumschnüffeln in den Logs hab ich aber gesehen, es wird Zeit für ein fsck.

Code: Select all

Dec 30 18:50:06 nemesis EXT3-fs warning: maximal mount count reached, running e2
fsck is recommended
Dec 30 18:50:06 nemesis kjournald starting.  Commit interval 5 seconds
Dec 30 18:50:06 nemesis EXT3 FS on dm-0, internal journal
Dec 30 18:50:06 nemesis EXT3-fs: mounted filesystem with ordered data mode.

Kein Problem dachte ich, fsck hilft...

Code: Select all

# fsck /dev/hda6
fsck 1.38 (30-Jun-2005)
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext2: Bad magic number in super-block while trying to open /dev/hda6

The superblock could not be read or does not describe a correct ext2
filesystem.  If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
    e2fsck -b 8193 <device>

Huch? Was ist los? Nochmal explizit mit fsck.ext3 probieren...

Code: Select all

# fsck.ext3 /dev/hda6
e2fsck 1.38 (30-Jun-2005)
Couldn't find ext2 superblock, trying backup blocks...
fsck.ext3: Bad magic number in super-block while trying to open /dev/hda6

The superblock could not be read or does not describe a correct ext2
filesystem.  If the device is valid and it really contains an ext2
filesystem (and not swap or ufs or something else), then the superblock
is corrupt, and you might try running e2fsck with an alternate superblock:
    e2fsck -b 8193 <device>

Die Partition lässt sich wunderbar mounten und die Daten lesen und schreiben, ist also prinzipiell OK.

Ich probier's auch auf der richtigen Partition. Laut /etc/crypto-mount.conf (was ja funktioniert):

Code: Select all

DEVICE_NAME="/dev/hda6"         # Name of the partition-device, e.g. hda3
CRYPTO_FS="ext3"                # Filesystem of the crypto-device

Was läuft also mit fsck falsch?
Ich hab sogar probiert die Partition gemountet zu checken (normalerweise macht man sowas ja nicht), aber das ging mit der gleichen Fehlermeldung wieder in die Hose...

Eine Sache noch. Ich hab /sbin/e2fsck auf dem System. Brauch ich ein e3fsck? Bisher hab ich nur mit ext2 gearbeitet...

Linux benutze ich schon länger, bin aber Frischling mit Gentoo.
Könnt ihr mir einen Tipp geben? Ich steh auf dem Schlauch...

Gruss,
e-tho

[svf]

Hi
du musst e2fsck auf den mapper anwenden...
also erst mit cryptomount dein mapper erstellen(oder von hand)
dann unmount(umount <mountpoint>)

und dann kannst du e2fsck /dev/mapper/<mappername>
danach wieder mounten und fertig

HTH
gruß

[e-tho]

Hallo svf,
danke für den Tipp! Hat geholfen.

Gruss,
e-tho

[ScytheMan]

Tag,
habe das jetzt so gemacht wie es im HowTo steht, danke erstmal für die Anleitung.

Nun zu meinem Problem: Ich habe gemerkt, dass die Partition ein bisschen zu klein ist. Kann ich die größe nachträglich verändern ohne Probleme?


Gruß ScytheMan

[Anarcho]

Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann.

Und es gibt glaube ich nen ext3resize oder so ähnlich.

Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern).

[flash49]

Es gibt nen parameter für cryptsetup mit dem man die grösse ändern kann.

Das geht mit "cryptsetup resize". Wennich mich richtig an meine letzte Erweiterung erinnere braucht man das Filesystem nichtmal auszuhängen. Das ist besonders praktisch, wenn man ein Filesystem wie xfs benutzt. Das kann man dann auch online erweitern

Und es gibt glaube ich nen ext3resize oder so ähnlich.

Mit dieser Kombination könnte man es mal probieren (natürlich vorher die echte partition vergrössern).

Das Programm heißt "resize2fs", ext2resize und ext2online sind schon ziemlich alt und haben mit manchen Strukturen Probleme. Bei mir sind sie über die Raid-Optimierungen gestolpert.

[Massimo B.]

Hallo. Ich habe hier cm_crypt mit pam_mount verknüpft, nach der HowTo Automatically mount dm-crypt encrypted home with pam_mount. Dadurch muß ich nur noch mein Benutzerpasswort eingeben, der Schlüssel selbst liegt in einer ssl-verschlüsselten Datei.
Scheinbar kümmert sich dort niemand mehr um die Diskussion.

• Nach dem Logout bleibt gerne mal die Partition gemountet, wenn Prozeße noch darauf zugreifen. Das habe ich einigermaßen behoben, indem ich das Skript /usr/bin/umount.crypt geändert hab:

  Code: Select all

  # warte kurz...
  sleep 4
  #"$UMOUNT" "$1";
  "$UMOUNT" -l "$1";
  if [ $? -ne 0 ]; then
          echo "${0##*/}: error unmounting $1" >&2
  # ...

  Allerdings bleibt auch dann manchmal noch /dev/mapper/_dev_hda5 aktiv, und läßt sich auch nicht manuell mit remove entfernen, da es noch verwendet werde. Trotzdem zeigt fuser -vm /dev/mapper/_dev_hda5 nichts mehr an.
  Das Problem besteht nur bei KDE Sitzungen. Konsolen Login/Logoff funktioniert tadellos.
• Laut pam_mount.conf sollte LUKS auch möglich sein. Hier verstehe ich aber nicht, wie ich gemäß HowTo meine Schlüsseldatei als "Passphrasse" mitgebe.
• Sollte mal ein fsck nötig sein, kann ich dies auf /dev/mapper/_dev_hda5 anwenden?

[slick]

Habe mir das crypto-mount script umgebaut, da ich kein Keyfile möchte sondern die Passphase direkt verwenden. Als Vorteil sehe ich die Vermeidung von gpg, denn bei der vorgestellten Variante liegt die ganze Gefahr bei der gpg-Verschlüsselung, ist diese "geknackt" ist auch die Partition offen und außerdem kann ich so das Keyfile nicht verlieren. Nachteil ist dass das Passwort nachträglich nicht mehr geändert werden kann und entsprechend lang sein sollte. Alles was ich nicht benötigte habe ich weggelassen. Ergänzt habe ich die config um PW_TRIPLE_MD5 welche eine 3-fache md5sum des Passwortes enthält damit ich auch dessen Richtigkeit prüfen kann. Evt. sollte man hier einen besseren Hash-Algo. finden, bin für Vorschläge offen. Den Wert erhält man durch

Code: Select all

echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1

aber nicht vergessen anschliessend den Befehl wieder aus der history zu werfen.

Deweiteren habe ich ein simples fsck ergänzt. (ohne Fehlerbehandlung) Die MOUNT_OPTIONS war im orginalen Script aus dem tar.gz nicht korrekt, da fehlte das -o in der Config oder im Script. Da ich -t ext3 mit in die MOUNT_OPTIONS schreibe habe ich mir letztendlich CRYPTO_FS auch gespart. Das Script crypto-umount ist gleich geblieben.

/etc/crypto-mount.conf

Code: Select all

# ********************************************************************* #
# Script for automatically mounting and unmounting a crypted partition  #
# by using a keyfile stored on a removable media. This keyfile can be   #
# encrypted by gpg.                                                     #
#                                                                       #
# Author: Matthias Schroeer (Anarcho)                                   #
# Date: 01.11.2004                                                      #
# Version: 0.6                                                          #
# License: GPL                                                          #
#                                                                       #
# ToDo:                                                                 #
# - add support for multiple crypted partitions                         #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#

# Config

PW_TRIPLE_MD5="cc9a69285ff5fffd26e33bde2130c56f" # triple md5sum of password
MAX_PW_TRIES=3                  # Maximum password tries
PW_TIME_OUT="20"                # password timeout in seconds, set to "" to disable

MAPPER_NAME="crypto"            # Mapper-device name
DEVICE_NAME="/dev/md6"          # Name of the partition-device, e.g. hda3
CRYPTSETUP_OPTIONS=""           # Options for cryptsetup like -s 128

CRYPTO_MOUNT="/mnt/crypto"      # Moutpoint for the crypto-device
MOUNT_OPTIONS="-t ext3 -o noatime"      # Mountoptions for the crypted device

crypto-mount

Code: Select all

#!/bin/bash

# ********************************************************************* #
# crypto-mount                                                          #
#                                                                       #
# Script for automatically mounting a crypted partition by using a      #
# keyfile stored on a removable media. This can be encrypted by gpg.    #
#                                                                       #
# Author: Matthias Schroeer (Anarcho)                                   #
# Date: 05.12.2004                                                      #
# Version: 0.6.2                                                                #
# License: GPL                                                          #
#                                                                       #
# ToDo:                                                                 #
# - add support for multiple crypted partitions                         #
# ********************************************************************* #
#
# 17.02.2006 - modified by slick, who don't like keyfiles, use password only
#

unset PASS

# Color definition

cblack='\E[30m'
cred='\E[31m'
cgreen='\E[32m'
cyellow='\E[33m'
cblue='\E[34m'
cmagenta='\E[35m'
ccyan='\E[36m'
cwhite='\E[37m'

cecho ()
# Argument $1 = message
# Argument $2 = color
{
use_color=${2:-$cblack}          # Defaults to black, if not specified.
  echo -en '\033[1m'"$use_color"
  echo -n "$1"
  tput sgr0                  # Reset to normal.
  return
}


# Checking if you are root
if [ `whoami` != "root" ]; then
        cecho "  ERROR:  " $cred
        echo "You have to be Super-User to mount $MAPPER_NAME"
        exit 1
fi

# Check for config-file
if [ -f /etc/crypto-mount.conf ]; then
        source /etc/crypto-mount.conf
else
        cecho "  ERROR:  " $cred
        echo "No config file was found (/etc/crypto_mount.conf)"
        exit 10
fi

# Checking if the mapper-device already exists
if [ -b /dev/mapper/${MAPPER_NAME} ]; then
        cecho "  WARNING:  " $cyellow
        echo "Mapper already created, only trying to mount"
        # Checking if already mounted
        MOUNT_TEST=`mount | grep /dev/mapper/${MAPPER_NAME}`
        if [ "$MOUNT_TEST" == "" ]; then
                # Checking mount-options
                if [ "$MOUNT_OPTIONS" != "" ]; then MOUNT_OPTIONS="-o $MOUNT_OPTIONS"; fi
                # Checking if mountpoiunt for the crypto-device exists
                if [ ! -d ${CRYPTO_MOUNT} ]; then
                        if [ -e ${CRYPTO_MOUNT} ]; then
                                cecho "  ERROR:  " $cred
                                echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
                                exit 7
                        else
                                cecho "  WARNING:  " $cyellow
                                echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
                                if ! mkdir ${CRYPTO_MOUNT}; then
                                        cecho "  ERROR:  " $cred
                                        echo "Creating mountpoint (${CRYPTO_MOUNT})"
                                        exit 9
                                fi
                        fi
                fi


                # fsck
                fsck /dev/mapper/${MAPPER_NAME}

                # Mounting the cryptodevice
                if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
                        echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
                        exit 0
                else
                        cecho "  ERROR:  " $cred
                        echo "Mounting crypto-device"
                        exit 5
                fi
        else
                cecho "  WARNING:  " $cyellow
                echo "Crypto-device already mounted! (${CRYPTO_MOUNT})"
                exit 0
        fi
fi

# Checking if the partition to crypt exists
if [ ! -b "${DEVICE_NAME}" ]; then
        cecho "  ERROR:  " $cred
        echo "Device does not exist (${DEVICE_NAME})"
        exit 6
fi

# Creating the crypto-device

PW_OK="no"
if [ "$PW_TIME_OUT" != "" ]; then
        PW_TIME_OUT="-t $PW_TIME_OUT"
fi

COUNTER=0
while [ "$PW_OK" != "yes" ]; do
        echo "Sorry, the password is wrong!"
        if [ $COUNTER -ge $MAX_PW_TRIES ]; then
                cecho "  ERROR:  " $cred
                echo "Maximum password tries are reached!"
                exit 12
        fi
        echo -n "Please enter passphrase (hit ENTER to exit): "; read -ers $PW_TIME_OUT PASS
        # Check if only ENTER
        if [ "$PASS" == "" ]; then
                echo ""
                exit 13
        fi
        # Check if passwort is right
        if [ "`echo $PASS | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1 | md5sum | cut -d ' ' -f 1`" == "$PW_TRIPLE_MD5" ] ; then
                PW_OK="yes" ;
        fi
        COUNTER=$[$COUNTER+1]
done
echo "$PASS" | /bin/cryptsetup ${CRYPTSETUP_OPTIONS} -h plain create ${MAPPER_NAME} ${DEVICE_NAME} && CRYPT_SUCC="yes"
unset PASS; echo ""

#echo $RUN_CRYPT; exit 1
if [ "$CRYPT_SUCC" == "yes" ]; then
        # Checking if mountpoiunt for the crypto-device exists
        if [ ! -d ${CRYPTO_MOUNT} ]; then
                if [ -e ${CRYPTO_MOUNT} ]; then
                        cecho "  ERROR:  " $cred
                        echo "There is a file where a directory should be (${CRYPTO_MOUNT})"
                        /bin/cryptsetup remove ${MAPPER_NAME}
                        exit 7
                else
                        cecho "  WARNING:  " $cyellow
                        echo "The mountpoint does not exist, I will try to create it (${CRYPTO_MOUNT})"
                        if ! mkdir ${CRYPTO_MOUNT}; then
                                cecho "  ERROR:  " $cred
                                echo "Creating mountpoint (${CRYPTO_MOUNT})"
                                exit 9
                        fi
                fi
        fi

        # fsck
        fsck /dev/mapper/${MAPPER_NAME} 

        # Mounting the cryptodevice
        if /bin/mount ${MOUNT_OPTIONS} /dev/mapper/${MAPPER_NAME} ${CRYPTO_MOUNT}; then
                cecho "  SUCCESS:  " $cgreen
                echo "Crypto-Device mounted succesfully (${CRYPTO_MOUNT})"
                exit 0
        else
                cecho "  ERROR:  " $cred
                echo "Mounting crypto-device"
                cryptsetup remove ${MAPPER_NAME}
                exit 5
        fi
else
        cecho "  ERROR:  " $cred
        echo "Creating the mapper-device (${MAPPER_NAME})"
        exit 4
fi

exit 0

[slick]

Habe das gefunden um die Swap ohne Scripte direkt durch die Angabe in der /etc/fstab zu verschlüsseln. Scheint auch zu funktionieren, /dev/loop7 wird dann als Swap eingebunden, allerdings bin ich mir nicht sicher ob die Verschlüsselung auch so funktioniert wie sie soll, da ja Cryptoloop deprecated sein soll. Weiß das jemand genauer? Kann man das testen? Gibt es einen gleichartigen Eintrag für die fstab auch mit dmcrypt?

/etc/fstab

Code: Select all

/dev/hdax none swap sw,loop=/dev/loop7,encryption=AES128 0 0 

[flash49]

Sorry slick, wenn ich mal kurz das Thema wechsle, aber ich habe hier noch 2 kleine Tipps:

1)Wenn man mit "gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace" das verschlüsselte Filesystem erzeugen will und den falschen key eingibt wird das Mapperdevice trotzdem erzeugt! Das Passwort ist dann leer oder sonst irgendwas.

2)Wenn man den Verschlüsselungskey wechseln will oder muß (z.b. weil man obigen Fehler gemacht hat ), dann geht das wie folgt:

Code: Select all

umount /dev/evms/bigspace
gpg -d /system.key.gpg|cryptsetup -h plain create bigspace_crypt /dev/evms/bigspace
#passwort für alten key eingeben
gpg -d /system-neu.key.gpg|cryptsetup -h plain create bigspace_crypt2 /dev/evms/bigspace
#passwort für neuen key eingeben
dd if=/dev/mapper/bigspace_crypt|buffer -s64k -S10m|dd of=/dev/mapper/bigspace_crypt2

Ich habe über einen Tag für 220GB gebraucht (ist aber auch nur ein P3/550 ). Vieleicht bringen auch andere Werte für die Buffergröße etwas.
Achtung der Vorgang darf auf keinen Fall unterbrochen werden, sonst habt ihr ein Filesystem, daß halb mit dem einen und halb mit dem anderen Key verschlüsselt ist
Falls ihr den Vorgang dennnoch unterbrochen habt könnt ihr versuchen mit den "seek" und "skip" Optionen an der Stelle weiterzumachen an der ihr aufgehört habt.

Btw. Wenn ihr vorher ein Backup macht, dann schadet das bestimmt auch nicht!

[misterjack]

Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge

Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:

http://de.gentoo-wiki.com/DM-Crypt

[slick]

Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, ...

Cryptsetup hat einen Schönheitsfehler, es trennt die Informationen des Keys von den zu verschlüsselten Informationen. Die Cryptsetup Parameter stehen in Skripten oder Dateien und wer diese verliert, erhält keinen Zugriff auf seine Daten.
[...]
LUKS trickst Datenretter aus, indem ein AF-Splitter diese Daten um das Viertausendfache aufbläht. Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Key zu bestimmen. Fehlt ein Sektor, ist ein Zugriff unmöglich.

Ich denke hier sollte man genau überlegen was man möchte. Sicher bietet LUKS Vorteile, aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren). Bei normalem Cryptsetup kann ich genannte "Skripte oder Dateien" einfach sichern. Bei LUKS, wenn ich das richtig verstehe, muß ich schon gezielt einzelne Sektoren der Festplatte sichern (sofern überhaupt bekannt welche) um wieder an den Masterkey zu kommen falls auch nur ein Sektor ausfällt.

[misterjack]

Die aufgeblasene Information ist nicht redudant, es ist immer der komplette Datensatz nötig, um den Master-Ke aber dafür scheint es mir auf den ersten Blick unsicherer in bezug auf Anfälligkeiten der Hardware (defekte Sektoren)

dafür gibts doch das:

Festplatten kennen die Funktion Sector Remapping, eine einfache Technik, die einen schlecht lesbaren Sektor in eine reservierte Festplattenzone kopiert und dann sämtlichen Zugriff umleitet wenn man auf nummer sicher gehen will, added man seinen key halt bis die acht slots voll sind. würde jeden key mit einer angehängten ziffer unterscheiden

edit: habe grad mal die homepage durchsucht, ob sowas geplant ist:

Q: How can I backup my keys

You can't. Either stuff the key into another key slot, if you are afraid of damaged sectors that might occour in your phdr, and regularly backup your disk. This is not the place to talk about the benifits of backups, but when using cryptography you are in a much harder position to recover stuff in the event of data loss.

[Massimo B.]

http://de.gentoo-wiki.com/DM-Crypt

Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche [topic=274651] nach Anleitung mit pam_mount[/topic] (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen.
Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft.

Fragen zur Howto:

• Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen).
• Warum /dev/hda1 und nicht direkt /dev/hda? Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3?

Kurze Frage zur Performance:

• aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein?

[misterjack]

Ich hab sowohl eine luks-Verschlüsselung, als auch eine herkömmliche [topic=274651] nach Anleitung mit pam_mount[/topic] (zum automatischen Öffnen und mounten bei Login) erfolgreich erstellt. Leider hab ich die Verbindung, nämlich eine Passwortübergabe mit pam_mount an luks nicht hinbekommen.

sorry, kann ich nix dazu sagen

Mit gleichem cipher (aes-cbc-essiv:sha256 in meinem Fall, was die 600Mhz-G3 ziemlich streßt) sollte luks doch die gleiche Sicherheit bieten, wie herkömmliches cryptsetup, nur weniger komfortabel was fallback-Passwort und Passwortänderung betrifft.

Dein Masterkey ist noch lange nicht so gut gesichert wie bei LUKS

habe ich übersehen

Ist die erste Formatierung vor luksFormat nicht unnötig? Besser wäre eine urandom Überschreibung (wie oft erwähnt, ohne auf Sicherheit von (u)random einzugehen).

Ja stimmt eigentlich, werde es gleich ändern. urandom ist auch nur nötig, wenn man vorhandene daten löschen will. das macht aber shred schon ziemlich gut (25fache Überschreibung)

Warum /dev/hda1 und nicht direkt /dev/hda?

Teste es doch einfach mal In dem Anwendungsbeispiel geht es ja darum eine Partition zu verschlüsseln Ich mache grad einen Test mit meinen USB-Stick (lahmende USB 1.1 Version) und sieht erfolgversprechend aus. werde demnächst mal ne 3 GB hdd zum testen reinhauen, meine S-ATA ist schon zur Hälfte voll

Ist es möglich ein /dev/mapper/_dev_hda erneut zu partitionieren, d.h. ein großes mapper-device auf /dev/hda erstellen, und darauf dann /dev/mapper/_dev_hda1,2,3?

gerade mal ausprobiert mit usbstick:

Code: Select all

Platte /dev/mapper/usbstick: 65 MByte, 65531904 Byte
255 Köpfe, 63 Sektoren/Spuren, 7 Zylinder
Einheiten = Zylinder von 16065 × 512 = 8225280 Bytes

               Gerät  boot.     Anfang        Ende     Blöcke   Id  System
/dev/mapper/usbstick1               1           7       56196   83  Linux

misterjack ~ # ls /dev/mapper/
control   media     usbstick

scheint nicht möglich zu sein

aes-cbc-essiv:sha256 mit 256 bit key bringt auf meinem Laptop gerade mal noch 1MB/s Performance, bei maximaler CPU-Last von kjournald, der eigentlich ja nicht für die Verschlüsselung zuständig ist. Ist ext3 auf einer Crypt-Partition nicht zu emfehlen? Von journaled-Dateisystemen wurde stellenweise abgeraten. Gibts einen leichteren cipher ohne mit der Sicherheit und Schlüsselgröße runterzugehen? aes soll doch weniger lastig als blowfish sein?

ich habe mit blowfish-cbc-essiv:sha256 und 256 bit key ca 19 MiB/s (auf 1.6 GHZ war mein Athlon XP-M während des Transfer-Tests getaktet). mit ext3 formatiert

[Evildad]

Erstmal Danke für das Howto.

Ich habe aber noch eine Frage. Und zwar habe ich jetzt noch vor mehrere Partitionen zu verschlüsseln.
Crypto-mount kann aber leider ja bisher und so wie es aussieht auch noch für lange Zeit nur 1 Partition verwalten.
Gibt es also irgendeine simple Alternative für mehrere Crypto-Partitionen ?

Grüsse

[ScytheMan]

Ich habe das ganze mit cryptsetup verschlüsselt, gibt es die Möglichkeit das ganze auf cryptsetup-luks zu migrieren ohne die Daten irgendwo unverschlüsselt abspeichern zu müssen?

gruß ScytheMan

[flash49]

Falls du damit einen Wechsel des Crypto-Setupprogramms meinst, dann ist das kein Problem, cryptsetup-luks kann auch mit dm-crypt Partitionen arbeiten. Falls du einen Wechsel der verschlüsselten Partition von dm-crypt nach Luks meinst, dann weiß ich das auch nicht. Ich hab auch schon danach gesucht, aber nichts gefunden. Allerdings ist meine Vermutung, das es nicht geht, da luks ja noch einen Header benötigt und für den dürfte bei einer dmcrypt Partition kein Platz mehr sein.

[ScytheMan]

das cryptsetup-luks da abwärtskompatibel zu sein scheint, weiß ich..

es wäre also theoretisch möglich HDA (cryptsetup) zu mounten mit cryptsetup-luks und dann auf HDB mit cryptsetup-luks eine Verschlüsselte Partition (cryptsetup-luks) zu erstellen und das ganze dann rüberzukopieren?

gibt es für cryptsetup-luks auch sowas wie ein crypto-mount script?

[manuels]

Dieses Howto entspricht nicht mehr dem Stand der Sicherheitstechnischen Dinge
Eine bessere Alternative ist die zusätzliche Verwendung von LUKS, wie das funktioniert, wird hier beschrieben:
http://de.gentoo-wiki.com/DM-Crypt

Hi,
vielleicht solltest du das ganze auf der 1. Seite nochmal schreiben.
auf Seite 10 sieht man es nicht direkt.

Tschö mit ö
Manuel

[lorschy]

Auch wensn nimmer dem ssicherheitstechnischen stand entspricht, ich nutzt es immer noch bzw. ich versuche es.,
Habe das ganze vor ner weile auf meiner einen partition erstellt und konnte es auch nutzen.
Nun ist einiges an zeit vergangen und ich wollt mal wieder auf die daten zugreiffen.

nun wollte ich das mapper device ersetllen und es passsiert folgendes:

Code: Select all

gpg --quiet -d movies.key.gpg | cryptsetup -h plain create dump /dev/sda1
[b]Command failed: Block device required[/b]
gpg: DBG: connection to agent established
gpg: WARNING: message was not integrity protected

Code: Select all

fdisk /dev/sda

Disk /dev/sda: 250.0 GB, 250059350016 bytes
255 heads, 63 sectors/track, 30401 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

   Device Boot      Start         End      Blocks   Id  System

Command (m for help): q

Nun weiss ich nimmer ob das ganze ueber fdisk zu sehen war, aber ich kann mir die Fehlermeldung "Block device required" nicht anders erklaeren als das irgendwie die partition nimmer da ist.
Auf sda war nur eine partition (sda1) und das ganze teil war als ext3 formatiert - und wie gesagt es ging die ganze zeit.

[Mgiese]

hi, leider ist der 1. post ja schon 3 jahre alt, kann den nicht mal jemand das howto aktuallisieren ? mich interessiert das thema erst seit kurzem und wenn ich dem howto des allerersten posts folge, komme ich schon hier nicht weiter :

Code: Select all

# head -c 1000 < /dev/urandom | uuencode -m - | grep -v begin | head -c 32 >TEST.key
bash: uuencode: command not found

als ich cryptsetup installieren wollte bekam ich ausserdem folgende probleme :

Code: Select all

# emerge sys-fs/cryptsetup --pretend

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild  N    ] sys-fs/cryptsetup-1.0.5-r1  USE="nls -build -dynamic (-selinux)"
[blocks B     ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B     ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)
localhost usixq # emerge -C cryptsetup-luks && emerge sys-fs/cryptsetup

nun weiss ich nicht ob ich cryptsetup-luks evl doch benoetige, oder was der unterschied zwischen den 2 programmen ist.

spielt es eine rolle ob ich eine reiserfs oder ext3 partition nehme ?


mfg

EDIT : mein post hat sich erledigt, ich werde morgen mal diesem howto folgen : http://de.gentoo-wiki.com/DM-Crypt

[ezfox]

habe seit heute selbiges problem:

emerge -uDvp world

[ebuild N ] sys-fs/cryptsetup-1.0.5-r1 USE="nls -build -dynamic (-selinux)" 315 kB
[blocks B ] sys-fs/cryptsetup-luks (is blocking sys-fs/cryptsetup-1.0.5-r1)
[blocks B ] sys-fs/cryptsetup (is blocking sys-fs/cryptsetup-luks-1.0.4-r3)

Total: 1 package (1 new, 2 blocks), Size of downloads: 315 kB

was brauch ich denn nun ?