Hallo Christoph, Hallo Liste, Christoph Schmees schrieb am Montag, den 25.03.2019 um 14:37: > Hi Martin, > > Am 25.03.19 um 13:44 schrieb Martin Johannes Dauser: > > Hallo, zum Thema Alternativen: > > > > RedHat/Fedora haben hierfür Network-Bound Disk Encryption (aka Clevis > > Tang) entwickelt. <https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Network-Bound_Disk_Encryption.html> <https://blog.cloudpassage.com/2017/12/21/network-bound-disk-encryption-red-hat-linux-7/> <http://www.admin-magazine.com/Archive/2018/43/Automatic-data-encryption-and-decryption-with-Clevis-and-Tang> > > Scheint es auch unter Debian testing zu geben: > > > > https://manpages.debian.org/testing/clevis/index.html > > > > https://packages.debian.org/buster/clevis > > ... > danke für den Input. Leider sind deine Links durch Zeilenumbruch zerfleddert, was ihre Nutzung unnötig erschwert. > Damit das nicht passiert, kannst du entweder > # den Zeilenumbruch ganz ausschalten, oder > # Links in <> einschließen (dann verschont der Umbruch sie). > > Meine 2¢ zur Verbesserung der Welt ... :-) Und meine €0,02: Ich habe mir erlaubt, die von Martin genannten Links oben selbst schnell mit ein paar Tastendrücken wieder zusammen zu flicken. Ob das die Welt verbessert? Da habe ich so meine Zweifel... ☺ Auf jeden Fall sehen „Tang“ und „Clevis“ deutlich komplexer aus. Die in diesem Diskussionsfaden ursprünglich von Matthias Boden vorgeschlagene einfachere Lösung mit einem zentralen SSH-Server als „Treuhänder“ hat dafür den Nachteil, dass damit auch ein singulärer Angriffspunkt geschaffen wird. Der von Martin als drittes genannte Link verweist auf einen Artikel vom letzten Jahr, der unter anderem den sogenannten „McCallum-Relyea Exchange“ in drei Absätzen zu erklären versucht. So weit ich das verstanden habe, ist die Idee dahinter, dass die Passphrase zum Entschlüsseln der Laufwerke auch auf dem zentralen Server nicht im Klartext gespeichert sein muß. Mehr zu den mathematischen Hintergründen dieser Technik findet sich hier: <https://de.wikipedia.org/wiki/Shamir%E2%80%99s_Secret_Sharing> und der dort angegebene Original-Artikel von 1979 kann hier nach gelesen werden: <http://crypto.csail.mit.edu/classes/6.857/papers/secret-shamir.pdf> Liebe Grüße, Peter Funk
Attachment:
signature.asc
Description: Digital signature