Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?

To: debian-user-german@lists.debian.org
Subject: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Tue, 10 Apr 2007 12:21:29 +0200
Message-id: <[🔎] E1HbDTd-0003HE-7M@scyw00225.scy001.de>
In-reply-to: <[🔎] 461B547C.7040303@casella.verplant.org>
References: <[🔎] 20070409204213.GA5631@torres.zugschlus.de> <[🔎] 20070410090648.3e99511a@trabant2.kaecgn> <[🔎] E1HbB4o-0007J2-Kw@scyw00225.scy001.de> <[🔎] 461B547C.7040303@casella.verplant.org>

On Tue, 10 Apr 2007 10:10:20 +0100, Moritz Lenz
<moritz@casella.verplant.org> wrote:
>Marc Haber wrote:
>> On Tue, 10 Apr 2007 09:06:48 +0200, Stefan Pampel
>> <polyformal@gmail.com> wrote:
>
>>> Natürlich muss man beim Booten für jede Partition das Passwort
>>> eingeben, auch wenn diese übereinstimmen sollten. Im Moment kann ich
>>> damit leben, da ich derzeit nur zwei Partitionen verschlüsselt habe,
>>> jedoch an der Authentifizierung via GPG-Key auf USB arbeite [1] und
>>> dann auch die anderen Partitionen zur Debatte stehen verschlüsselt zu
>>> werden.
>> 
>> Das geht mindestens bei der "LVM over crypt"-Variante auch einfacher,
>> indem man den Luks-Passphrase in einem Keyscript kapselt und dieses
>> Keyscript in der /etc/crypttab einträgt. Beim nächsten Bau der initrd
>> wird dann das Keyscript in die initrd übernommen und das System kann
>> somit ohne Interaktion booten.
>
>Wieso sollte man eine Partition verschlüsseln, wenn man dann den
>Schlüssel offen lesbar auf eine andere Partition legt?

Wenn diese andere Partition auf einem USB-Stick liegt, ist das sehr
sinnvoll. Dann liegen die Daten nur offen, wenn Rechner _UND_ Stick am
gleichen Ort sind.

>Der Sinn der Sache ist doch, dass man das Passwort eingeben _muss_.

Nein, der Sinn der Sache ist, dass eine Authentifikation stattfindet,
bevor die Daten offen liegen.

Beim Passwort authentifiziert man sich dadurch, dass man etwas weiß;
beim Stick dadurch, dass man etwas hat.

>Oder habe ich das jetzt falsch verstanden, und muss man das Passwort
>immer noch eingeben, nur eben früher im Bootvorgang?

Das Paradigma ist etwas anderes.

Selbstverständlich ist es denkbar, dass die Daten nur offen liegen,
wenn man ein Passwort weiß _UND_ den Stick zur Verfügung hat, aber das
ist im konkreten Szenario nicht gewünscht.

Grüße
Marc

-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

References:
- crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Stefan Pampel <polyformal@gmail.com>
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
  - From: Moritz Lenz <moritz@casella.verplant.org>

Prev by Date: Re: Grafikkarten mit freien Treibern?
Next by Date: Re: Etch USB Drucker
Previous by thread: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
Next by thread: Re: crypto-filesystem nach Debian-Art mit temporaerem weiteren crypto-fs?
Index(es):
- Date
- Thread