Re: [cryptsetup] luksFormat - Welchen cipher?
Jochen Schulz, Sun Jul 26 2009 12:35:53 GMT+0200 (CEST) :
> Peter Jordan:
>> 1. Disk mit Zufallsdaten überschreiben
>> dd if=/dev/random of=/dev/sdc bs=1024
>
> Wenn die Platte neu ist, kannst Du Dir das eigentlich sparen. Mit
> /dev/random wird das auch ewig dauern, wenn Du nicht gerade einen
> Hardware-RNG hast. Nimm besser /dev/urandom oder gleich /dev/zero.
>
Ich meinte auch /dev/urandom. Und wenn die Platte neu ist und ich das
nicht mache, kann man sehen wo Daten stehen und wo keine stehen.
Insofern ist das auch bei neuen Platten nicht sinnlos.
>> 3. Partition 1 mit luksFormat formartieren
>> cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256
>> luksFormat /dev/sdc1
>
> Aus welchem Grund weichst Du vom default (aes-cbc-essiv:sha256) ab?
>
> Nicht, dass ich eine fundierte Meinung dazu habe, aber gerade deswegen
> würde ich eher den default übernehmen.
Ich erinnere mich, mal irgendwo gelesen zu haben, dass
serpent-cbc-essiv:sha256 sicherer aber langsamer ist, als der Standard.
>
>> 4. Key erstellen
>> dd if=/dev/random of=<path_to_new_keyfile> bs=1 count=256
>>
>> 5. Key dem Gerät hinzfügen
>> cryptsetup luksAddKey /dev/sdc1 <path_to_created_keyfile>
>>
>> Jetzt meine Fragen:
>>
>> Ist dieses Vorgehen richtig?
>
> Ist grundsätzlich ok. Ich habe bisher nicht mit externen Keys
> gearbeitet, das sieht aber so ok aus. Was mir bei diesem Vorgehen nicht
> klar ist: wie schützt Du das Keyfile vor Zugriff?
>
Der Key dient dem automatischen Backup (wenn man mal von der
Notwendigkeit des Anschließens der Festplatte absieht). Der Key schützt
also Daten die auf dem entschlüsselten Laufwerk, auf dem der key liegt,
sowieso verfügbar sind, also brauch er nicht gesondert geschützt zu werden.
PJ
Reply to: