Unterschiede bei verschlüsselten Systemen?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 10:43:07

Hallo,

vielleicht kann mich hier ja mal jemand aufklären.
Ich habe auf meinem Rechner neben Jessie z. Zt. auch noch ein Ubuntu 16.04 und ein Mint 18 installiert. Alle 3 Systeme sind in etwa gleich groß (Partitionen und Belegung) und verschlüsselt. Um die Verschlüsselung geht es mir hier.

Wenn ich ein Debian bei der Installation verschlüssele, brauche ich dazu, obwohl ich das inzwischen schon etliche mal gemacht habe, immer noch eine genaue Schritt-für-Schritt-Anleitung, die ich mir anfangs mal dank Forumhilfe erstellen konnte. Ich finde den ganzen Vorgang sehr umständlich und kompliziert.

Ganz anders bei Mint und Ubuntu, da ist die Verschlüsselei fast selbsterklärend und wesentlich einfacher. Das Ergebnis ist aber in beiden Fällen gleich (oder?). Alle Partitionen werden von Gparted als "crypt-luks" gekennzeichnet und die Verschlüsselung funktioniert.

Dann die Größe der Backups. Wenn ich von allen 3 Systemen mit RedoBackup ein Backup erstelle ist es so, dass das Backup von Debian etwa die Größe der kompletten Partition hat, oder sogar noch etwas mehr. Die Größe der Backups von Mint und Ubuntu haben aber nur etwa gut ein Drittel der Partitionsgröße. Außerdem ist dann auch die Erstellung des Backups von Debian natürlich erheblich zeitaufwendiger.

Es muss also doch irgendwelche Unterschiede in der Verschlüsselung von Debian und Ubuntu/Mint geben.
Erwähnen muss ich noch, dass das Debian auch schon wesentlich länger auf der Platte ist als die anderen beiden. Kann es daran liegen? Werden die Backups eines verschlüsselten Systems mit zunehmendem Alter größer?

Gruß, ottonormal

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von schwedenmann » 06.08.2016 10:56:24

Hallo


Bist du sicher das bei allen Systemen komplett / vercshlüsselt wird ?

ich glaube, das zumindest bei Mint, du nur /home per Installer verschlüsseln kannst.

mfg
schwedenmann

Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 11:15:59

schwedenmann hat geschrieben:Hallo


Bist du sicher das bei allen Systemen komplett / vercshlüsselt wird ?
Ja, da bin ich ganz sicher. Der Unterschied ist mir auch bekannt :wink:

DeletedUserReAsG

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von DeletedUserReAsG » 06.08.2016 11:41:07

Mach dieses „RedoBackup“ ein Image der verschlüsselten Partitionen, oder kopiert es die unverschlüsselten Daten? Wenn Ersteres: damit das Backup kleiner sein kann als die Ausgangsdaten, muss es komprimiert werden. Verschlüsselte Daten lassen sich ebenso wie Zufallsdaten äußerst schlecht komprimieren, und der Debian-Installer überschreibt die Partition beim Anlegen mit Zufallsdaten, damit ein Angreifer von außen nicht erkennen kann, wo sich auf der Partition Daten befinden. Wenn die beiden anderen Backups signifikant kleiner sind, kann das also bedeuten, dass bei der Erstellung des verschlüsselten Devices auf diesen Schritt verzichtet wurde. Das würde einem Angreifer einen zeitaufwändigen Arbeitsschritt ersparen, bzw. bestimmte Ansätze überhaupt erst ermöglichen. Eine andere Möglichkeit wäre, dass die verschlüsselten Daten der beiden anderen Systeme eine geringere Entropie aufweisen – das wäre richtig schlecht, und ich hoffe mal, dass das nicht der Fall ist.

Wenn das Programm die unverschlüsselten Daten sichert: wozu das System verschlüsseln?

Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 11:56:57

niemand hat geschrieben:Mach dieses „RedoBackup“ ein Image der verschlüsselten Partitionen...
Ja, "dieses" RedoBackup macht ein Image der verschlüsselten Partition. Anderenfalls müsste "dieses" RedoBackup ja das Passwort haben.

Hast etwas gegen RedoBackup? Es ist nicht das erste mal, dass ich einen leicht abfälligen Unterton aus Deinen Antworten in Bezug auf RedoBackup herauslese.

DeletedUserReAsG

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von DeletedUserReAsG » 06.08.2016 12:01:26

Wenn du da ’nen abfälligen Unterton rausliest, ist das dein Problem. Ich habe es in Anführungszeichen gesetzt, weil ich es nicht kenne und es auch nicht für so wichtig hielt, mich darüber zu informieren.
Anderenfalls müsste "dieses" RedoBackup ja das Passwort haben.
Nicht, wenn es vom laufenden System aus ausgeführt würde. Wie auch immer – wenn es ein Image erstellt, trifft meine Erklärung oben zu.

Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 12:09:47

niemand hat geschrieben: Nicht, wenn es vom laufenden System aus ausgeführt würde.
Backup einer verschlüsselten Partition aus einem laufenden System heraus? Welchen Sinn sollte das haben? :mrgreen:
Ist mit "diesem" RedoBackup meines Wissens nach wohl auch gar nicht möglich, "dieses" RedoBackup ist ein Live-System. :wink:

DeletedUserReAsG

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von DeletedUserReAsG » 06.08.2016 12:14:24

Wie gesagt, es ist für mich nicht wichtig, was dieses „RedoBackup“ ist. Es war für die Beantwortung der Frage nur von Bedeutung, auf welche Art es das Backup anfertigt, das hast du dargelegt und damit eine hoffentlich nachvollziehbare Antwort auf deine Frage bekommen. Wo ist das Problem?

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von wanne » 06.08.2016 15:42:27

Du kannst bei der Installation von debian per Haken auswählen ob auch unbenutzte Blöcke der Platte verschlüsselt werden. (Also auch die teile auf denen keine Dateien liegen.)
Macht man das nicht, hat folgende Auswirkungen:
  • Zwischend den verschlüsselten Daten liegen alte unverschlüsselte. Insbesondere werden die meisten Platten nie ganz volgeschrieben. Am Ende der Platte liegen dann die ganze Zeit nullen. Das lässt sich natürlich wunderbar komprimieren.
  • Zumnidest bei Magnetplatte ist der Speicher danach nicht komplett überschrieben. Dateien die zuvor auf der Festplatte lagen, weiterhin zu finden. Das default unter Debian löscht also auch alte Daten.
  • Man kann auch keine Dateiblockgrößen sehen. Hat man bekannte Dateien auf der Platte kann oft einfach aufgrund der Größe und Anordnung geraten werden, was das wohl ist. Eine typische Ubuntu installation wird man sofort erkennen auch ob du als torrent Programm qbittorrent oder irgend was dummes, was nicht vorher reserviert nutzt wird sofort klar. Etwas schwieriger aber nicht unmöglich ist es beispielsweise die aktuelle Hackingteam Daten oder eine Wikileaks veröffentlichung zu finden. Auch die dürften ein relativ eindeutigs Muster beim Entpacken/Runterladen machen. Auch einen aktuellen Kinofilm wird man mit Glück an der Dateigröße wiedererkennen können. Dein privates Nacktphoto eher nicht. Sprich: Alles wo die Originale bekannt sind kann man möglicherweise (mit unterschiedlich großer Wahrscheinlichkeit und Aufwand) wiedererkennen.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 17:11:41

Den Haken gibt es dann wohl nur beim grafischen Installer oder im "Expertenmodus", oder? Ich nutze immer nur den normalen Installer, da habe ich solche Möglichkeit noch nicht gefunden. Vielleicht wird ein solcher Haken auch bei Ubuntu/Mint automatisch gesetzt? Bei der nächsten Debian-Installation werde ich dann mal darauf achten. Danke erst mal für den Hinweis.

Ich mache ganz sicher nichts ungesetzliches auf meinem Rechner, ich will mit der Verschlüsselung nur sicherstellen, dass bei Diebstahl/Verlust oder unbefugter Nutzung des Rechners keiner an meine persönlichen Daten kommt. Dass solche Vereine wie z. B. die NSA wohl trotzdem da herankämen, ist mir schon bewusst. Ich glaube dagegen wird es wohl keinen wirklichen Schutz geben.

Ich habe die 3 Systeme übrigens auf einer SSD installiert, genau gesagt, hatte ich die bisher auf einer 128GB-SSD und bin gerade auf eine größere, nagelneue SSD damit umgezogen auf der zuvor noch nichts anderes gespeichert war. Danach habe ich die besagten Backups erstellt und dabei die doch ziemlich gravierenden Unterschiede bemerkt.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von wanne » 06.08.2016 20:52:46

ottonormal hat geschrieben:Den Haken gibt es dann wohl nur beim grafischen Installer oder im "Expertenmodus", oder? Ich nutze immer nur den normalen Installer, da habe ich solche Möglichkeit noch nicht gefunden.
So genau weiß ich das nicht. Ich partitioniere immer vorher per live CD, weil mich der Installer an der stelle auch immer verwirrt. Aber da ist ein Screenschot:

Bild
Erase Data muss da auf no gesetzt werden.
ottonormal hat geschrieben:persönlichen Daten kommt.
Naja, man könnte den Pornogeschmack herausfinden. Mir geht es auch in erster Linie um persönliche Daten, die eben nicht wiedererkannt werden können, weil privat. Entsprechend nutze ich die Option auch nicht.
ottonormal hat geschrieben:Ich habe die 3 Systeme übrigens auf einer SSD installiert, genau gesagt, hatte ich die bisher auf einer 128GB-SSD und bin gerade auf eine größere, nagelneue SSD damit umgezogen auf der zuvor noch nichts anderes gespeichert war.
Bei SSDs kannst du wenn du obige Option nicht nutzt auch TRIM anschalten das zeigt der SSD an, welche Blöcke leer sind und beschleunigt so das schreiben. Je nach Modell ändert das aber auch die Lebenslänge positiv oder negativ.
ottonormal hat geschrieben:Danach habe ich die besagten Backups erstellt und dabei die doch ziemlich gravierenden Unterschiede bemerkt.
Für Backups würde ich aus Prinzip immer die unverschlüsselten Daten sichern. (Wieder in ein neues verschlüsseltes Device.)
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
ottonormal
Beiträge: 3404
Registriert: 20.01.2014 22:25:29

Re: Unterschiede bei verschlüsselten Systemen?

Beitrag von ottonormal » 06.08.2016 21:27:33

Aha, ja, danke für die sehr ausführlichen und verständlichen Tipps. :THX:
Das werd ich mir mal speichern für die nächste Debian-Installation.
Ich partitioniere auch immer vor der Installation, finde das einfacher und schneller. Und Backups der unverschlüsselten Daten mache ich ohnehin regelmäßig ca alle 2 Wochen mit fsarchiver, das geht ja schnell. Nur zu Anfang nach einer Neuinstallation und danach vielleicht alle halben Jahre mache ich ein komplettes Backup aller Partitionen, für alle Fälle.

Antworten