Re: Verschlüsselung in Lenny

To: debian-user-german@lists.debian.org
Subject: Re: Verschlüsselung in Lenny
From: Alex Maurer <debian@blacker47.de>
Date: Mon, 29 Dec 2008 15:13:39 +0100
Message-id: <[🔎] 20081229151339.bb08e6f1.debian@blacker47.de>
In-reply-to: <[🔎] 20081229114855.GA10072@dserver.dnetz>
References: <[🔎] 20081229114855.GA10072@dserver.dnetz>

On Mon, 29 Dec 2008 12:48:55 +0100
Dirk Salva <dsalva@gmx.de> wrote:
> Gibts da ein "Ranking" oder Vorschläge!?

Standardmethode wäre dm-crypt zu verwenden. Mit oder ohne "Erweiterung" LUKS. Damit kann man die Verschlüsselung als eine transparente Zwischenschicht einführen.
Z.B.: [Dateisystem] -> [LUKS] -> [Partition]

Wenn man damit /home verschlüsselt, gibt es relativ wenig zu beachten.
Das größte Problem für dich dürfte sein, dass man nicht "in-place" es nachträglich umwandeln kann. Man muss das neue Volume neu erstellen und die daten aus altem, unverschlüsseltem /home in das neue kopieren und alte Daten dann am besten noch sicher überschreiben.

Das braucht 1. mehr Platz und 2. ist vielleicht aufwändig zu organisieren (je nach Partitionierung / Verwendung von sowas wie LVM).

Die Passphrase wird man normalerweise dann bereits beim Booten eingeben müssen, weshalb man andere dinge braucht wie initramfs-tools, aber diese dürften automatisch mit dm-crypt paketen installiert werden.

Im Prinzip wenn man es nachträglich per Hand machen will muss man
1. Ein verschlüsseltes Volume erstellen
2. Es in /etc/crypttab eintragen

Zur Erstellun mit Lenny-Kernel empfehle ich LUKS mit etwa folgenden Optionen:
cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/hdx

und in /etc/crypttab müsste dann sowas stehen wie:
home_crypt /dev/hdx none luks,tries=4

und wenn alles klappt, dann ist das zu mountene Dateisystem (für /etc/fstab) als
/dev/mapper/home_crypt zu finden/einzutragen.

An installierten paketen könnte sowas wie cryptmount, cryptsetup, initramfs-tools und vielleicht manche andere nötig werden, aber vermutlich werden die dann schon automatisch installiert.

Ich glaube es ist nicht nötig, aber wer weiß:
Vor dem Erstellen u.U. "modprobe <modul>"
ausführen und Module aes und xts damit laden.

Klingt jetzt evtl. alles kompliziert, ist aber nicht wirklich kompliziert. Für weitere Fragen einfach fragen.

Hier noch paar Links und mit Google findet man da noch mehr:

http://www.saout.de/tikiwiki/tiki-index.php
http://www.linux-magazin.de/heft_abo/ausgaben/2005/08/geheime_niederschrift
https://systemausfall.org/wikis/howto/CryptoPartitionHowTo

TrueCrypt ist leider unter Linux etwas umständlich. Ich glaube man braucht immer noch ein passendes Kernelmodul (warum kann TC kein FUSE benutzen?) und dieser wird nur für SuSe und Ubuntu mit ausgeliefert.

TrueCrypt würde ich zur Not nur dann unter Linux verwenden, wenn man auf die Dateien direkt aus Windows heraus ebenfalls zugreifen möchte.

Für Verschlüsselung einzelner Dateien würde sich evtl. PGP anbieten und einzelner Verzeichnisse EncFS.

Reply to:

Follow-Ups:
- Re: Verschlüsselung in Lenny
  - From: Uwe Kerstan <uwe.kerstan@gmx.de>
- Re: Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>
- Re: Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>

References:
- Verschlüsselung in Lenny
  - From: Dirk Salva <dsalva@gmx.de>

Prev by Date: Re: Open Office MySql und JDBC
Next by Date: Re: Verschlüsselung in Lenny
Previous by thread: Re: Verschlüsselung in Lenny
Next by thread: Re: Verschlüsselung in Lenny
Index(es):
- Date
- Thread