Heinz Diehl wrote: > On 27.07.2009, Kai Wilke wrote: >> Ich benutze: >> dd if=/dev/urandom of=/dev/sdc bs=1M count=2 >> Danach ist sowieso alles weg (Filesystem, etc.) und es geht >> schneller. > > Du benutzt Kommandos, deren Sinn du nicht verstehst. Das' aber'n bisschen hart... > Es geht nicht darum, evtl. vorhandene Partitionen zu loeschen, > sondern die zu verschluesselnde Partition soll mit zufaelligen > Bitmustern ueberschrieben werden. Das wird u.a. deswegen gemacht, > damit man bei einer evtl. forensischen Untersuchung nicht feststellen > kann, welche Daten verschluesselt sind und welche nicht. > > Denke dir eine 10 GB grosse Partition, die Festplatte ist leer und neu > gekauft. Damit ist es am leichtesten vorstellbar. Jetzt schreibst du > darauf verschluesselte Daten, genau 1 GB. Man kann hinterher genau > sagen, dass 1 GB Bitmuster vorhanden sind, die man nicht ohne > weiteres sinnvoll lesen kann, und der Rest sich uniform davon > unterscheidet. Also wuerde man im Falle eines Angriffes auf die Daten > konkludieren, dass es sich bei den 1 GB "Datenmuell" um die > verschluesselten Daten handelt. Wenn einem die bloße Kenntnis des Ortes der verschlüsselten Daten schon einen Vorteil verschafft, dann sollte man wohl das Kryptosystem wechseln. Ich weiß, dass dieses Vorgehen immer wieder propagiert wird. Aber das hat mehr mit Voodoo zu tun, als mit einem ernsthaften Angriff auf AES. Kerckhoff lässt grüßen. > Jetzt stell' dir das Ganze vor, wenn die gesamte Partition vorher mit > zufaelligen Bitmustern beschrieben wurde. Der potentielle Angreifer > sieht nur: 1 Partition vorhanden, komplett voll mit irgendwelchen > Bitmustern. Welches nun die evtl. vorhandenen verschluesselten Daten > sind, die er haben will, und was nur zufaelliges Rauschen ist, kann > er nicht mehr feststellen. Das Resultat moderner > Verschluesselungsalgorithmen unterscheidet sich naemlich im Idealfall > nicht von zufaelligen Mustern, und genau da ist der Sinn. Die Zeit sehe ich besser investiert in einem fsck. Oder einem Lauf von cruft. Oder im Idlen! :-)
Attachment:
signature.asc
Description: PGP signature