Re: [cryptsetup] luksFormat - Welchen cipher?

[Heinz Diehl <htd@fancy-poultry.org>]

On 27.07.2009, Kai Wilke wrote: 

> Ich benutze:
> dd if=/dev/urandom of=/dev/sdc bs=1M count=2
> Danach ist sowieso alles weg (Filesystem, etc.) und es geht schneller.

Du benutzt Kommandos, deren Sinn du nicht verstehst.

Es geht nicht darum, evtl. vorhandene Partitionen zu loeschen, sondern die
zu verschluesselnde Partition soll mit zufaelligen Bitmustern
ueberschrieben werden. Das wird u.a. deswegen gemacht, damit man bei einer
evtl. forensischen Untersuchung nicht feststellen kann, welche Daten
verschluesselt sind und welche nicht. 

Denke dir eine 10 GB grosse Partition, die Festplatte ist leer und neu
gekauft. Damit ist es am leichtesten vorstellbar. Jetzt schreibst du
darauf verschluesselte Daten, genau 1 GB. Man kann hinterher genau sagen,
dass 1 GB Bitmuster vorhanden sind, die man nicht ohne weiteres sinnvoll lesen
kann, und der Rest sich uniform davon unterscheidet. Also wuerde man im
Falle eines Angriffes auf die Daten konkludieren, dass es sich bei den 1
GB "Datenmuell" um die verschluesselten Daten handelt.

Jetzt stell' dir das Ganze vor, wenn die gesamte Partition vorher mit
zufaelligen Bitmustern beschrieben wurde. Der potentielle Angreifer sieht
nur: 1 Partition vorhanden, komplett voll mit irgendwelchen Bitmustern. Welches nun
die evtl. vorhandenen verschluesselten Daten sind, die er haben will, und
was nur zufaelliges Rauschen ist, kann er nicht mehr feststellen. Das
Resultat moderner Verschluesselungsalgorithmen unterscheidet sich naemlich
im Idealfall nicht von zufaelligen Mustern, und genau da ist der Sinn.

Jetzt nochmal zu deinem Aufruf oben, der genau 2MB Zufallsdaten erzeugt.
Glaubst du, das erfuellt den Zweck?

;-)