[Gelöst] Entschlüsselungsverfahren modifizieren

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

[Gelöst] Entschlüsselungsverfahren modifizieren

Beitrag von rhHeini » 23.01.2017 21:44:11

Habe zum erstem Mal einen Rechner nach der zitierten Anleitung aus dem Ubuntu-Wiki installiert.
https://wiki.ubuntuusers.de/System_vers ... C3%BCssel/
Indem ich mich stur an die Anleitung gehalten habe, kriege ich sogar root und swap automatisch mit dem selben Schlüssel entsperrt.

Die Vorgehensweise schien mir auf Anhieb sehr tippintensiv zu sein, und das Skript ist für mich nicht wirklich vollständig durchsichtig. Es hat mich in den Fingern gejuckt da meinen eigenen Weg zu gehen, ich hab es aber erst mal gelassen um zu sehen ob es überhaupt funktioniert, denn meine Erfahrungen mit dem alten Etch-Wiki waren sehr gemischt, es hat eine Weile gedauert die Anleitungen zu entflöhen.

Mit tippintensiv meine ich das da mehrfach ein "decryptkeydevice" vorkommt und dadurch Pfade und Kommandos extrem lang werden. Ist das ein festes Schlüsselwort oder kann ich das einfach anpassen?

Das ist soweit ok, ich will aber eine weitere Festplatte mit einem eigenen Key ebenfalls automatisch entschlüsseln und einhängen.

Für die zweite Festplatte würde ich ein eigenes Directory mit Konfigurationsfile und Skript anlegen, wobei ich vorhabe das Skript deutlich zu verschlanken.

Kommentare willkommen.

Mfg rh
Zuletzt geändert von rhHeini am 15.02.2017 22:50:47, insgesamt 1-mal geändert.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Entschlüsselungsverfahren modifizieren

Beitrag von wanne » 24.01.2017 03:07:26

Die Leute im Ubuntuwiki stellen sich IMHO extrem dämlich an.
Hier zwei posts von mir wie man das macht, wenn man den Empfehlungen in den man-pages folgt:
viewtopic.php?f=37&t=163571#p1116161
viewtopic.php?f=37&t=162829#p1109607
Hier eine Seite aus unserem Wiki, die den gleichen Mechanismus nutzt: (Allerdings zu anderen Zwecken.)
https://wiki.debianforum.de/Cryptsetup_ ... _USB-Stick
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Entschlüsselungsverfahren modifizieren

Beitrag von uname » 24.01.2017 08:37:28

Also ich finde die Anleitungen im Ubuntuusers-Wiki nicht so schlecht. Die von dir genannte Dokumentation löst das Problem der Entschlüsselung über einen USB-Stick über eine eigene Software, genauer über eine Konfigurationsdatei und ein Script. Für Anfänger ist das vielleicht die bessere Möglichkeit. Der Name "decryptkeydevice" ist hierbei vielleicht etwas lang, jedoch ihn z.B. auf "usb", "usbstick" usw. zu kürzen wäre auch nicht gut.Trotzdem kann man ihn anpassen wie man gerne möchte.
Um zu verstehen was passiert ist es sinnvoll das Shellscript durchzugehen, die Variablen einzusetzen, alles unwichtige zu überlesen und dann die Befehle daraus zu extrahieren. Dann wird klar, dass das Script viele Dinge abfängt, die für den eigenen Anwendungsfall nicht notwendig sind. Das muss aber nicht schlecht sein. Das Betriebssystem installiert auch viel Zeug auf den Rechner, das nie aufgerufen wird.
Aber es ist immer die Frage will man verstehen was passiert oder ein Programm, welches immer korrekt arbeitet. Insgesamt erscheint es mir eine gute Lösung als eine Art Sorglos-Paket für normale Anwender und enthält vielleicht ein paar gute Ideen für fortgeschrittene Anwender.

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: Entschlüsselungsverfahren modifizieren

Beitrag von rhHeini » 27.01.2017 21:24:37

Vielen Dank für die Beiträge, die haben mich ermutigt für mich eine angepasste Lösung zu suchen.

Habe erst versucht das Skript aus dem Ubuntu-Wiki zu verstehen. Da hat mich aber das Plymoth und Debug-Zeugs so sehr verwirrt, das ich nach einer kleinen Pause dann doch mein altes Skript genommen habe, und darauf basierend die Konfiguration reingekippt und den Lesemechnismus umgestellt habe auf den vom Ubuntu-Skript.

Was soll ich sagen, nach einer Anpassung der crypttab läuf es fast auf Anhieb. Nur ein "modprobe vfat" hatte ich übersehen, das hat überflüssige Fehlermeldungen verursacht. Ich habe jetzt ein Vorgehen das es erlaubt unter Wheezy ohne systemd mehrere Festplatten gezielt mit verschiedenen Schlüsseln aufzuschliessen. Das Skript ist recht kurz und einfach.

Schönes Wochenende, rh

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Entschlüsselungsverfahren modifizieren

Beitrag von wanne » 27.01.2017 23:47:26

uname hat geschrieben:Um zu verstehen was passiert ist es sinnvoll das Shellscript durchzugehen, die Variablen einzusetzen, alles unwichtige zu überlesen und dann die Befehle daraus zu extrahieren. Dann wird klar, dass das Script viele Dinge abfängt, die für den eigenen Anwendungsfall nicht notwendig sind.
Nein. Am ende nutzt das Script genau den gleichen Mechanismus, den die andere Variante auch nutzt. (Das die crypttab triggert, dass beim das Entschlüsslungstool aufgerufen wird.)
Die ganzen unnötigen Zwischenschritte sorgen nur für zusätzliche Verwirrung.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Entschlüsselungsverfahren modifizieren

Beitrag von Tintom » 28.01.2017 01:23:01

Ich hab mir damals mit udev was gebastelt, weil ich die Ubuntu-Variante nicht verstanden hab und es systemd seinerzeit noch nicht gab. Sind sechs Zeilen Code und funktioniert ohne Probleme.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Entschlüsselungsverfahren modifizieren

Beitrag von wanne » 01.02.2017 00:25:12

udev ist ja jetzt teil von systemd.
https://www.youtube.com/embed/bdmv2FQRHWg ;-)
Ob man da jetzt ne systemd-unit ein udev-Script oder die crypttab nutzt ist egal. Andere Sprache, bisschen andere Syntax aber der gleiche Mechanismus.
Wichtig ist denke ich das:
Tintom hat geschrieben:Sind sechs Zeilen Code und funktioniert ohne Probleme.
So klingt das nach einer vernünftigen Lösung. Wenn man 5 Seiten zum Erklären braucht nicht mehr.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten