Re: Verschlüsseltes System von einem Rechner auf einen anderen kopieren
Marc Haber - 04.07.24, 13:04:44 CEST:
> >Meine letzte Installation hatte --iter-time 5000 nicht. Bezweifle fast,
> >dass das mittlerweile der Standard ist.
>
> Im Standard wird die Anzahl der Iterationen abhängig vom vorgefundenen
> Prozessor ermittelt. Glaube ich. Oder hoffe ich.
Hast Du den Optionsnamen "--iter-time" gelesen und was ich geschrieben
habe? Und dann mal nach "cryptsetup --help" wirklich angeschaut? Da steht
Iterationszeit 2000. Ich verwende 5000. Deswegen dauert es dann ja auch 5
Sekunden, bis ein Passwort geprüft ist. Wie ich ebenfalls schrieb.
Vielleicht ist 5000 auf einem Laptop mit AMD Ryzen 7 PRO 8840U paranoid.
Die Manpage deutet das an :) Aber ich erinnere mich noch gut an die
Zeiten, wo für SSH längere RSA-Schlüssel-Längen als der Standard empfohlen
waren.
Ich frage mich ja gerade schon, warum ich mir die Mühe mache, das alles
zu schreiben. Aber ich weigere mich, herum zu spekulieren, wenn
"cryptsetup --help" und der Optionsname und die Manpage doch super
eindeutig sind, wie das mit der "--iter-time" gemeint ist und was der
Standard-Wert ist.
> >Aber jetzt habe ich gerade mal geschaut, damit wir mal aus dem
> >Spekulieren heraus kommen: Laut "cryptsetup --help" für Version 2.7.2
> >lege ich auf die Standard-Parameter mit obigen Aufruf noch ordentlich
> >was oben drauf!
> Nur beim Hash, LUKS mit XTS hat verdoppelte 256 bit. Ich würde mich
> selbst für vermessen halten, wenn ich mir zutrauen würde, hier eine
> bessere Auswahl als die Experten treffen zu können.
Für Optionen, die ich nicht angebe, wird LUKS die Standard-Werte
verwenden, auch wenn ich einige Optionen angebe. Zumindest ging ich
bislang davon aus. Macht es ja auch, wenn man keine Optionen angibt. Falls
Du das sicher anders weißt, dann informiere mich bitte. Und dass SHA512
sicherer als SHA256 ist… davon gehe ich auch aus. Debian hat ja für die
Passwörter auch SHA512 verwendet und nicht SHA256.
Nach allem, was ich sehe und verstehe, habe ich auf die Standard-Werte
noch etwas oben drauf gelegt.
Ja, ich bin kein Kryptologe, aber ich hab mir bei den Einstellungen schon
auch was gedacht. Ich denke, ich hab die Idee dazu aus dem Arch Wiki. Und
da sind meiner Einschätzung nach auch Leute, die sich was dabei gedacht
haben.
Du kannst es ja so machen, wie Du es für sinnvoll hältst. Ich mache es so,
wie ich es für sinnvoll halte. Insbesondere steht uns auch frei,
unterschiedliche Quellen heran zu ziehen und dann selbst einzuschätzen,
wie wir es machen. Cryptsetup-Upstream, Debian, Arch Wiki… Weil am Ende
bleibt mir nichts Anderes übrig, als mich in Bezug auf Krypto-
Einstellungen auf Empfehlungen zu verlassen. Oder hast Du verstanden, wie
SHA512, Yescrypt und Co *genau* funktionieren? Ich nicht, auch wenn ich
einen deutlich älteren und einfacheren Algorithmus tatsächlich mal zu
verstehen glaubte, als ich eine sehr gute Beschreibung davon las. Ich
wollte dann Schulungsfolien dazu erstellen. Und dann war ich mir nicht
mehr sicher, ob ich es wirklich verstanden hab. Zumindest wäre mir schwer
gefallen, es in einfachen Worten zu erklären.
Dass z.B. die Standard-Werte für SSH weit hinter dem zurückbleiben, was
viele IMHO gute Quellen empfehlen, ist auch klar. Oder auch für Nginx oder
Apache, Postfix, Dovecot. Ich habe dort überall nach Empfehlungen, die mir
sinnig erschienen nach geschärft. Mozilla TLS-Leute, ssh-audit, lynis,
wohl veraltet Applied Crypto Hardening. Und zwar genau da, wo ich es
nachvollziehen konnte und mir sinnvoll erschien. Also nicht immer alles –
was bei Lynis ja schon auch echt viel wäre. Du vertraust dem Cryptsetup-
Upstream, den Debian-Paketbetreuern. Ich habe zusätzliche Quellen zu Rate
gezogen. Wo ist also jetzt genau der Unterschied? Wir beide verlassen uns
auf Empfehlungen von anderen Leuten! Natürlich ist es wichtig, nicht blind
alles zu übernehmen, was irgendwo im Internet geschrieben steht. Und
erneut zu prüfen, was aktuell sinnig ist, macht auch immer wieder Sinn.
Danke für die Erinnerung. Ich habe geprüft anhand der aktuellen
Standardwerte und bleibe bei meiner Einschätzung.
Ich habe ja von Anfang an geschrieben, dass es vielleicht bessere
Parameter gibt. Also ich verstehe die ganze Diskussion hier gerade nicht
mehr. Mache es doch so wie Du es für sinnvoll hältst! Mich hast Du
jedenfalls bislang nicht überzeugt, anders vorzugehen, als ich es bisher
gemacht habe.
> >--xattrs, -X preserve extended attributes
> >
> >Schaue Dir die Optionen vom obigen rsync genau an. Da ist meines
> >Wissens so ziemlich alles mit dabei, was zusätzlich gespeichert sein
> >kann.
> Und nach meiner Erfahrung reicht das leider nicht. Das mag sich in den
> letzten Monaten geändert haben.
Konkret? Wie bei Dual Boot schreibst Du einfach es geht nicht. Aber was
genau nicht geht, das dürfen die geneigten Leser raten? Ich finde da
konkrete Fakten durchaus mal ganz nett.
Ich hatte damit noch nie ein Problem, insofern das Ziel-Dateisystem mit
den Optionen klar kommt, was z.B. bei FAT32 und ExFAT nicht der Fall ist.
Ich habe schon so oft mit "rsync -aAHXS" kopiert, dass ich es nicht mehr
zählen kann. Ich hab da bislang noch nie eine Spur irgendeines Problems
damit bemerkt.
Ciao,
--
Martin
Reply to: