Luks Platten auf anderen PC nutzten

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 24.11.2015 17:03:38

Hallo,
Wir haben hier ein kleines NAS wo damals einige Platten per Luks verschlüsselt worden sind und bis Heute jede weitere auch Verschlüsselt wurde.
Da das System nun ersetzt werden soll hab ich die ersten Platte schonmal am neuen System mounten wollen jedoch sagt dieser mir das dies keine Luks Platte währe.
Am alten PC gehen die Platten problemlos...
Was ich gefunden habe bisher ist das die Platten auf das System wo die erstellt worden sind Beschränkt sind jedoch wurde bisher nichts gefunden wie diese an einen anderen PC auch gehen.
Gibts da eine Möglichkeit diese an einen anderen System zu nutzten?
Danke schonmal
kaiand1

DeletedUserReAsG

Re: Luks Platten auf anderen PC nutzten

Beitrag von DeletedUserReAsG » 24.11.2015 17:10:25

Kann’s sein, dass sich der LUKS-Container in einem logischen Volume befindet? Oder gar in einem RAID? In beiden Fällen muss das zunächst laufen, bevor man auf den Container zugreifen kann.

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 24.11.2015 17:49:38

Es wurde eine Partion erstellt und diese komplett Verschlüsselt
Verwendet wurde zum Einbinden Platte immer
cryptsetup luksOpen /dev/sdX1 KENNUNG
sowie
mount -t auto /dev/mapper/KENNUNG /mnt/KENNUNG
und dies geht beim neuen System nicht da es ein Luks währe.
mit
blkid
/dev/sdX1: UUID="xxxxxxx" TYPE="crypto_LUKS" PARTLABEL="primary" PARTUUID="xxxxx"
aber zeigt der mir auch im neuen System an das es eine Lukspartion ist.
Derzeit mache ich eine Entschlüsselung auf eine neue Platte jedoch da es eine kleine CPU ist dauert es so ca 1-3 Tage
Damals war es Ausreichend da eh nur immer Paar Daten hinzukommen sowie eh Leseraten IO waren mit so 40MB/s.
Aber bei so 3-4 TB Platten auf einmal alles Lesen dauert Lange und sind so >25 Platten...
Zuletzt geändert von kaiand1 am 24.11.2015 17:51:57, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Luks Platten auf anderen PC nutzten

Beitrag von DeletedUserReAsG » 24.11.2015 17:51:52

„geht nicht“ ist immer doof für eine Fehlersuche. Wie wär’s, du würdest deine Ein-, und die darauffolgende Ausgabe posten?

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 24.11.2015 17:53:18

niemand hat geschrieben:„geht nicht“ ist immer doof. Wie wär’s, du würdest deine Ein-, und die darauffolgende Ausgabe posten?
Hätte ich auch gemacht wenn ich grad da währe und es machen könnte...
Da ich dies aber erst morgen machen kann hätte ich die genaue Meldung eh gepostet...

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Luks Platten auf anderen PC nutzten

Beitrag von gehrke » 24.11.2015 19:52:22

Vielleicht sorgt hier ein luksDump für etwas mehr Klarheit. Beispiel:

Code: Alles auswählen

# cryptsetup luksDump /dev/sda2
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 24.11.2015 20:04:30

dies kann ich geben
LUKS header information for /dev/sdg1

Version: 1
Cipher name: serpent
Cipher mode: xts-plain64
Hash spec: sha512
Payload offset: 4096
MK bits: 512
MK digest: 55 fa 29 4c 89 4c c8 fb b6 e2 8d ac f1 83 2c 8e e4 18 47 05
MK salt: e2 d4 32 3f 59 22 ec 90 e3 30 1d 14 40 99 c3 56
a9 8e 7b 43 34 9c 4c 54 83 a0 19 4f 5f 7f 3c 4e
MK iterations: 10000
UUID: 6de99937-ba9c-4c00-b722-60171c291d51

Key Slot 0: ENABLED
Iterations: 40200
Salt: 51 58 ca 8f a7 3f 82 66 72 2a 40 fc a5 73 67 e7
9e ca 8e 22 63 b6 2b eb 0d e3 15 a1 b4 5e f9 a4
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Luks Platten auf anderen PC nutzten

Beitrag von gehrke » 24.11.2015 20:48:07

Also ein LUKS-Container mit einem Slot belegt. Dann sollte so etwas doch funktionieren:

Code: Alles auswählen

#cryptsetup luksOpen /dev/sdg1
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 24.11.2015 21:19:28

Ja auf den alten System geht dies auch nur von den 6 getesten Platten auf den neuen geht es nicht.
Angeblich währe es kein Luks Verschlüsselung.
Aber blkid sagt selbe Infos am neuen PC wie am alten...
Und es ist auch egal ob es per USB 3.0 oder intern per Sata angeschlossen wird.
Und des find ich komisch...
Genauere Fehlermeldung poste ich morgen dann nach..

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Luks Platten auf anderen PC nutzten

Beitrag von gehrke » 24.11.2015 21:32:58

Gerne auch mit der Information, welches OS auf dem 'alten' und 'neuen' System denn vorliegt.
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

DeletedUserReAsG

Re: Luks Platten auf anderen PC nutzten

Beitrag von DeletedUserReAsG » 24.11.2015 21:42:31

Wenn das die luksDump-Ausgabe vom „alten“ System war, wäre auch die vom „neuen“ von Interesse. Und natürlich die genaue Fehlermeldung – da kann man auch gerne mal was missinterpretieren (ohne was unterstellen zu wollen). Und ja, Infos über das „neue“ System sind relevant. Insbesondere, wenn z.B. eigener Kernel gebaut worden ist, o.ä. – nicht, dass ein spezifisches Modul vergessen worden ist, oder so.

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 26.11.2015 21:50:46

Also es ist Debian in der Standard Installation ohne das was am Kernel verändert wurde.
Dazu wurde auf dem neuen System auch Knoppix als LiveDVD genommen zum Test und da ging es auch nicht.
Auf dem neuen System sagt der Dump
LUKS header information for /dev/sdc1

Version: 1
Cipher name: serpent
Cipher mode: xts-plain64
Hash spec: sha512
Payload offset: 4096
MK bits: 512
MK digest: 55 fa 29 4c 89 4c c8 fb b6 e2 8d ac f1 83 2c 8e e4 18 47 05
MK salt: e2 d4 32 3f 59 22 ec 90 e3 30 1d 14 40 99 c3 56
a9 8e 7b 43 34 9c 4c 54 83 a0 19 4f 5f 7f 3c 4e
MK iterations: 10000
UUID: 6de99937-ba9c-4c00-b722-60171c291d51

Key Slot 0: ENABLED
Iterations: 40200
Salt: 51 58 ca 8f a7 3f 82 66 72 2a 40 fc a5 73 67 e7
9e ca 8e 22 63 b6 2b eb 0d e3 15 a1 b4 5e f9 a4
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Beim Mounten kommt
Gerät /dev/sdc1 ist kein gültiges LUKS-Gerät.
blkid sagt auf dem neuen Sys
/dev/sdc1: UUID="6de99937-ba9c-4c00-b722-60171c291d51" TYPE="crypto_LUKS"

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Luks Platten auf anderen PC nutzten

Beitrag von gehrke » 26.11.2015 21:55:53

Poste bitte mal die vollständigen Ausgaben vom 'luksOpen' und 'mount' inklusive der Befehlzeilen.
TNX
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 26.11.2015 22:05:02

cryptsetup luksOpen /dev/sdc1 KENNUNG
Gerät /dev/sdc1 ist kein gültiges LUKS-Gerät.

Normalerweise sollte da aber die Passwortabfrage kommen...
Es ist der selbe Befehl am alten sowie neuen PC aber trozdem will der die Luks Platte nicht Anerkennen : :(

Benutzeravatar
gehrke
Beiträge: 151
Registriert: 02.01.2015 09:15:41

Re: Luks Platten auf anderen PC nutzten

Beitrag von gehrke » 26.11.2015 22:12:47

Probier bitte mal:

Code: Alles auswählen

# losetup --find
/dev/loop0

# losetup /dev/loop0 /dev/sdc1

# cryptsetup luksOpen /dev/loop0 crypted
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt

Benutzeravatar
spiralnebelverdreher
Beiträge: 1296
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Luks Platten auf anderen PC nutzten

Beitrag von spiralnebelverdreher » 26.11.2015 22:17:36

Was gibt bei dir die Ausgabe des Befehls "cat /proc/crypto"?
Ist da die cipher "serpent" enthalten?

Benutzeravatar
spiralnebelverdreher
Beiträge: 1296
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Luks Platten auf anderen PC nutzten

Beitrag von spiralnebelverdreher » 29.11.2015 20:17:35

Gibt es da neue Erkenntnisse? Was hat die Ausgabe des o.g. Befehls ergeben?

kaiand1
Beiträge: 29
Registriert: 11.03.2008 19:59:33

Re: Luks Platten auf anderen PC nutzten

Beitrag von kaiand1 » 30.11.2015 01:22:45

Hatte die Tage nicht die Zeit um da weiter zu machen daher melde ich mich jetzt erst da ich auch was neues rausgefunden habe...
Nachdem die eine Platte am neuen System nicht ging hatte ich die am alten gemountet und dort die Daten ausgelesen.
Da diese nun Fertig war und die nächste genommen habe ist ein neues Problem aufgetreten und zwar das diese am alten System nicht erkannt wurde als Luks System...

cryptsetup luksDump /dev/sde1 80
Gerät »/dev/sde1« existiert nicht oder Zugriff verweigert.
cryptsetup luksOpen /dev/sde 80
Gerät »/dev/sde« ist kein gültiges LUKS-Gerät.

blkid sagt
/dev/sde: PTTYPE="PMBR"

crypsetup dump ect sagt auch ist kein LUKS Gerät...

Ich hab dann mal in den Logordner geschaut und beim Einstecken stand als Info diesmal das dort
sde: unknown partition table
quiet_error: 4 callbacks suppressed
quiet_error: 2 callbacks suppressed
ansonsten ganz normal wie immer.

mit fdisk mal die Partion angesehen die jedoch irgendwie Fehlerhaft ist da die Partition auf einma 16TB groß ist wobei es nur eine 3TB Platte ist.

Ich hab danach mal die Platte mit ddrescue ein Image erstellt und dort etwas weiter rumgespielt wie den Luksheader zurückgespielt den ich erstellt hatte als die Platte problemlos nutzten konnte aber nix.
Auch eine neue Partitionstabelle hat nix gebracht...

Ich hab dazu 4 unterschiedliche USB Adapter probiert und selbe Ergebnis...
Aber auch am Sata port am Nas wurde diese nicht erkannt.

Nun hab ich ein anderen Testpc genommen und die dort intern angeschlossen und blkid erkennt diese als Luks Device und ich kann diese nun Entschlüsseln...
Dieser hat Debian in der Minimalversion drauf worauf die anderen 2 PCs aber auch haben nur mit paar Programme halt mehr...

Kann es evtl ein Bug sein ? da es am 3ten PC wo keine der Plattren vorher dran war aufeinmal geht ?
An den 2 anderen war es ja egal ob USB oder Sata Anschluss wobei die einen Platten nur am alten System Lesbar waren (Debian und Kanotix Live DVD)..
Die Platten wurden immer einzelnd an den selben Port intern Angeschlossen über ein Wechselrahmen aber nach dem Problemen hatte halt auch anderen Sata Port und USB Adapter probiert...
Irgendwie sehr komisch aber zumindes eine weitere die nu Ausgelesen werden kann...

Antworten