Am Fri, 8 Mar 2013 14:02:23 +0100 schrieb Jochen Spieker <ml@well-adjusted.de>: > Michael Stummvoll: > >> Es ist unmöglich eine Partition mit Daten "on the Fly" > >> zu crypten. Also vorher alle Daten sichern, dann verschlüsseln, > >> dann die Daten zurück. > > > > Doch, das geht, wenn man auf der Platte nicht arbeitet. Du kannst > > für /dev/sda einen mapper ala /dev/mapper/sda-crypt erzeugen und > > dann mit > >> dd if=/dev/sda of=/dev/mapper/sda-crypt > > on the fly verschlüsseln. > > Will sehen, genaue Kommandoabfolge. Ohne Zuhilfenahme weiterer > Partitionen/Dateisysteme/Massenspeicher. Du sägst Dir doch den Ast ab, > auf dem Du sitzt. Ich kann natürlich gerade nicht auf einer echten festplatte arbeiten, aber das sollte als demo reichen: $ dd if=/dev/urandom of=foo bs=256M count=1 1+0 Datensätze ein 1+0 Datensätze aus 268435456 Bytes (268 MB) kopiert, 22,5522 s, 11,9 MB/s $ md5sum foo 5921cbc69b68515cb7a6e1fc17d4c9ca foo $ cryptsetup create foo-crypt foo Passsatz eingeben: $ dd if=foo of=/dev/mapper/foo-crypt 524288+0 Datensätze ein 524288+0 Datensätze aus 268435456 Bytes (268 MB) kopiert, 19,8543 s, 13,5 MB/s $ md5sum foo /dev/mapper/foo-crypt 65b6a046f8c9d35cf82fadd6c7525076 foo 5921cbc69b68515cb7a6e1fc17d4c9ca /dev/mapper/foo-crypt In foo befindet sich jetzt die verschlüsselte version der selben Datei von vorher. Dass die Daten noch passen siehst du, dass die md5summe der alten foo-datei und der neuen foo-crypt datei passen. Wie gesagt, geht das nur, wenn du zu verschlüsselnde platte nicht gemountet ist, aber dann ist es kein problem. Technisch gesehen passiert einfach folgendes: - x MB werden vom Device in den RAM gelesen - diesselben Daten werden dann in den Mapper geschrieben - Der wiederrum verschlüsselt auf die selbe Position des Devices zurückschreibt - Nächsten x MB werden gelesen - usw, usf Da wird nirgendwo ein Ast abgesägt. Liebe Grüße, Micha
Attachment:
signature.asc
Description: PGP signature