Peter Jordan: > > 1. Disk mit Zufallsdaten überschreiben > dd if=/dev/random of=/dev/sdc bs=1024 Wenn die Platte neu ist, kannst Du Dir das eigentlich sparen. Mit /dev/random wird das auch ewig dauern, wenn Du nicht gerade einen Hardware-RNG hast. Nimm besser /dev/urandom oder gleich /dev/zero. > 3. Partition 1 mit luksFormat formartieren > cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 > luksFormat /dev/sdc1 Aus welchem Grund weichst Du vom default (aes-cbc-essiv:sha256) ab? Nicht, dass ich eine fundierte Meinung dazu habe, aber gerade deswegen würde ich eher den default übernehmen. > 4. Key erstellen > dd if=/dev/random of=<path_to_new_keyfile> bs=1 count=256 > > 5. Key dem Gerät hinzfügen > cryptsetup luksAddKey /dev/sdc1 <path_to_created_keyfile> > > Jetzt meine Fragen: > > Ist dieses Vorgehen richtig? Ist grundsätzlich ok. Ich habe bisher nicht mit externen Keys gearbeitet, das sieht aber so ok aus. Was mir bei diesem Vorgehen nicht klar ist: wie schützt Du das Keyfile vor Zugriff? > Sind der gewählte cipher und die key-size gut gewählt oder gibt es > bessere Werte? Welcher Cipher ist zwischen Geschwindigkeit und > Sicherheit der beste Kompromiss? Welcher cipher ist der sicherste? Mein Rat: wenn Du das nicht weißt, nimm die Defaults. J. -- After the millenium I would tell lies only to those who deserved them. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature