luks vs luks2

Du kommst mit der Installation nicht voran oder willst noch was nachfragen? Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
DeletedUserReAsG

Re: luks vs luks2

Beitrag von DeletedUserReAsG » 26.03.2019 08:26:01

Grml setzt auf die Shell ksh und nicht die bash.
Eigentlich startet es per Default die Debianzsh (die hier ziemlich gut konfiguriert ist, nebenbei bemerkt – gibt nicht wenige Leute, welche die Konfiguration auch in anderen Systemen nutzen).

Für das, was die Meisten mit der Shell machen, ist’s ausreichend ähnlich zur Bash, um damit zurechtzukommen. Man muss allerdings die Strings etwas konsequenter quoten.

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: luks vs luks2

Beitrag von debianoli » 26.03.2019 09:43:08

niemand hat geschrieben: ↑ zum Beitrag ↑
26.03.2019 08:26:01
Eigentlich startet es per Default die Debianzsh (die hier ziemlich gut konfiguriert ist, nebenbei bemerkt – gibt nicht wenige Leute, welche die Konfiguration auch in anderen Systemen nutzen).
Hatte das heute morgen auf die Schnelle geschrieben, danke für den Hinweis.

Das "Problem" bei der zsh ist eher, dass man da nicht 1 zu 1 alles von der Bash übertragen kann. Gerade wenn man nicht besonders tief in der Materie steckt, kann das dann in der Praxis Schwierigkeiten machen. So waren meine Erfahrungen mit grml, das ansonsten ein sehr gutes Tool ist.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: luks vs luks2

Beitrag von Trollkirsche » 26.03.2019 21:21:59

TomL hat geschrieben: ↑ zum Beitrag ↑
25.03.2019 23:18:46
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
25.03.2019 22:20:18
Meinem Verständnis nach kann man die Vertrauenswürdigkeit ja nur gewährleisten, wenn der schlüssel woanders runtergeladen wurde als auf der Seite, auf der das ISO angeboten wird?
Das ist bei gnupg etwas anders. Der grml-maintainer hat mit gnupg einen Privat-Key erzeugt, der (hoffentlich) nicht öffentlich zugänglich ist. Du wirst diesen Private-Key jedenfalls nirgends runterladen können. Zusätzlich zu seinem geheimen Privat-Key wurde mit gpg ein dazu passender öffentlicher Public-Key erzeugt. Mit seinem Privat-Key hat er eine Signatur für das Installer-Iso erzeugt, also sowas wie eine Echtheitszertifikat. Du kannst nun mit dem Signaturfile, dem Pubkey und dem Iso die Echtheit des Iso's verifizieren. Wie der Fingerprint aussieht und wer der Keyfile-Ersteller war , steht ebenfalls auf der Seite, das wird weiterhin auch wieder beim importierten pubkey angezeigt. Ich denke nicht, dass auf der Seite unbemerkt geschummelt werden kann... da muss ja dann alles offen lesbare und dazu passend auch alle Prüffiles angepackt werden.

Ich hoffe, dass ich das richtig wiedergegeben habe.... :roll:
Erstmal ein ganz grossed Dankeschön an euch allen!

Es ist fantastisch wie ihr einem unter die Arme greift und ihm die Dinge erklärt. Eure Hilfe ist wahrhaft von nobler Art! Ich weiss sie extrem zu schätzen.

Für deine Ausführung danke ich dir. Nun ist das Prinzip klar. Ich wusste gpg zwar im Mailbereich einzusetzen, aber hab sie gnupg nie verwendet, um eine Datei zu signieren.

Dennoch ist mir etwas immer noch nicht klar:

Wie kann es sein, dass wenn ich auf der Arbeit "grml.org" eingebe, eine andere Seite angezeigt bekomme als wenn ich auf den hier im Forum genannten Link klicke?

Bei der einen Seite (http://) kann ich eine Torrent Datei runterladen.

Auf der https Seite sehe ich die Möglichkeit von Mirrors runterzuladen:
Download from a specific mirror

Direct download links:
Grml96 full ISO [Signature]
Grml64 full ISO [Signature]
Grml32 full ISO [Signature]
Grml96 small ISO [Signature]
Grml64 small ISO [Signature]
Grml32 small ISO [Signature]

Ich sehe folgenden Fingerprint auf der HP:
Key fingerprint = 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737

Bei der überprüfung des Isos bekomme ich folgenden Output:

gpg --verify grml64-full_2018.12.iso.asc grml64-full_2018.12.iso
gpg: Signature made Son 30 Dez 2018 16:18:46 CET
gpg: using RSA key 33CCB136401AFEC843A3876396A87872B7EA3737
gpg: Good signature from "Michael Prokop <mail@michael-prokop.at>" [unknown]
gpg: aka "Michael Prokop <mika@grml.org>" [unknown]
gpg: aka "Michael Prokop <mika@debian.org>" [unknown]
gpg: aka "Michael Prokop <prokop@grml-solutions.com>" [unknown]
gpg: aka "Michael Prokop <michael.prokop@synpro.solutions>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737

Wenn ich das nun richtig verstanden habe, dann zeigt der Fingerprint und das "Good signature", dass die überprüfung erfolgreich war?



Bis dann!

willy4711

Re: luks vs luks2

Beitrag von willy4711 » 26.03.2019 22:20:18

Ich würde ja gerne Verstehen, was das alles bewirken soll:
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 16:00:50
Da die Debian Live Version auf der Stable Distro beruht, kann ich nicht mehr per Live Version auf meine mit luks2 installierte, verschlüsselte Testing Distro zugreifen! Ich nehme mal an das auf der Live Version luks2 noch nicht implementiert ist?
Du hast also ein System (welches hast du ja noch nicht verraten) auf dem eine mit Luks2 verschlüsselte Partition besteht,
auf der Debian Testing installiert ist (oder nur Daten ?) .

Auf diese Partition willst du unbedingt mit einer Live- CD zugreifen, da das von deinem bestehenden System aus nicht geht ?
Ich vermute einfach mal, dass das Debian 9.8, also Stable ist, oder was anderes ?

Wie hast du denn die Partition dann angelegt?

Oder hast du bei der Installation der vermeintlichen "Debian Testing Distro" was falsch gemacht
und bekommst sie jetzt nicht gestartet?

Die Möglichkeit, das bestehende System auf Buster zu upgraden schließt du von vornherein aus. (warum ?)

Stattdessen wird über die Sicherheit von der Webseite von Grml herum diskutiert.

Es gibt natürlich auch Testing Live-CD's von Debian, falls du dem mehr vertraust, die die geforderte Version von cryptsetup 2:2.1.0-2 enthalten.
http://cdimage.debian.org/cdimage/unoff ... so-hybrid/

Nichtsdestotrotz würde mich schon interessieren, was der eigentliche Grund für dieses Vorgehen ist.
Es kann ja wohl nicht dauerhaft praktikabel sein, dass man auf eine Partition mit einer Live-CD (USB-Stick) zugreifen will ???

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: luks vs luks2

Beitrag von Trollkirsche » 26.03.2019 22:36:41

willy4711 hat geschrieben: ↑ zum Beitrag ↑
26.03.2019 22:20:18
Ich würde ja gerne Verstehen, was das alles bewirken soll:
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
24.03.2019 16:00:50
Da die Debian Live Version auf der Stable Distro beruht, kann ich nicht mehr per Live Version auf meine mit luks2 installierte, verschlüsselte Testing Distro zugreifen! Ich nehme mal an das auf der Live Version luks2 noch nicht implementiert ist?
Du hast also ein System (welches hast du ja noch nicht verraten) auf dem eine mit Luks2 verschlüsselte Partition besteht,
auf der Debian Testing installiert ist (oder nur Daten ?) .

Auf diese Partition willst du unbedingt mit einer Live- CD zugreifen, da das von deinem bestehenden System aus nicht geht ?
Ich vermute einfach mal, dass das Debian 9.8, also Stable ist, oder was anderes ?

Wie hast du denn die Partition dann angelegt?

Oder hast du bei der Installation der vermeintlichen "Debian Testing Distro" was falsch gemacht
und bekommst sie jetzt nicht gestartet?

Die Möglichkeit, das bestehende System auf Buster zu upgraden schließt du von vornherein aus. (warum ?)

Stattdessen wird über die Sicherheit von der Webseite von Grml herum diskutiert.

Es gibt natürlich auch Testing Live-CD's von Debian, falls du dem mehr vertraust, die die geforderte Version von cryptsetup 2:2.1.0-2 enthalten.
http://cdimage.debian.org/cdimage/unoff ... so-hybrid/

Nichtsdestotrotz würde mich schon interessieren, was der eigentliche Grund für dieses Vorgehen ist.
Es kann ja wohl nicht dauerhaft praktikabel sein, dass man auf eine Partition mit einer Live-CD (USB-Stick) zugreifen will ???
Hallo :)

Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.

Sicherheit ist mir sehr wichtig. Deshalb will ich sichergehen, dass die Authenzität des grml images gewährleistet ist. Irritieren tut mich, dass ich auf der Arbeit zb. auf eine http Seite lande, die gänzlich anders ist als die hier beim Link angegebene (https). Bei der http Seite kann ich eine Bittorrent Version runterladen zb., während das bei der https Version nicht der Fall ist.

Zudem hat die "diff" überprüfung der isos, einmal runtergeladen als bittorrent und einmal als http, eine differenz ergeben. Das fand ich doch höchst merkwürdig und spricht dafür, dass es sich um eine manipulierte iso handeln muss.

Was ich noch nicht ganz verstehe : Rein theoretisch müsste man doch den gnupg Schlüssel von woanders runterladen, als von der gleichen Seite? Nehmen wir an ein Angreifer faked die Seite, dann kann er doch rein theoretisch den fingerprint seines schlüssels angeben, die manipulierte iso mit seinem privaten schlüssel signieren und somit vorgeben, dass die Authenzität gewährleistet ist, während man im Grunde doch nur eine gefakte Version runterlädt?

Daher habe ich mal sicherheitshalber den fingerprint oben gepostet. Falls einer von euch überprüfen könnte, dass er denselben fingerprint für den schlüssel erhält, wäre ich sehr dankbar :)

Bezüglich der debian live version die du gepostet hast : Ist das nicht eine non-free Edition? Ich probiere lieber auf proprietäre Software zu verzichten...

Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt. Ich bin euch jedenfalls sehr dankbar das ihr euch soviel Zeit und Mühe für mich nehmt!

Wünsche allen eine Gute Nacht,

willy4711

Re: luks vs luks2

Beitrag von willy4711 » 26.03.2019 23:44:22

Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
26.03.2019 22:36:41
Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.
Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt.
Das hast du schon.
Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.
Deine ganzen Überlegungen sind somit hinfällig.

Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.

Höre dir dieses Interview am besten 10 Mal an und relativiere dann dein Sicherheitsbedürfnis.

Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald. :wink:

debianoli
Beiträge: 4068
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: luks vs luks2

Beitrag von debianoli » 27.03.2019 05:59:25

Zu deinem Problem mit grml.org: Die Seite hat keine automatische Weiterleitung von http auf https. Ist wohl vergessen worden. Und wenn dir in der Arbeit eine etwas andere Seite angezeigt wird, kann es am Cache des Browsers oder dem Firmen-Proxy deiner Arbeit liegen.

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: luks vs luks2

Beitrag von Trollkirsche » 08.04.2019 14:30:32

willy4711 hat geschrieben: ↑ zum Beitrag ↑
26.03.2019 23:44:22
Trollkirsche hat geschrieben: ↑ zum Beitrag ↑
26.03.2019 22:36:41
Ich würde gerne die Testing Version für mein NAS verwenden. Installiert ist noch nichts. Die Testing Version verwendet jedoch luks2. Die Live (stable) Version, die man auf debian.org runterladen kann, basiert zurzeit auf luks v1. Man kann von luks2 auf luks1 verschlüsselte Partitionen zugreifen, nicht jedoch von luks1 auf luks2. D.h. wenn ich die Testing Version für mein Nas verwende, dann könnte ich später, zb. zu Wartungszwecken, nicht von der stable live cd auf das luks2 verschlüsselte System zugreifen.
Ich hoffe ich habe mich bezüglich der luks1 vs luks2 thematik verständlich ausgedrückt.
Das hast du schon.
Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.
Deine ganzen Überlegungen sind somit hinfällig.

Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.

Höre dir dieses Interview am besten 10 Mal an und relativiere dann dein Sicherheitsbedürfnis.

Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald. :wink:
Hi Leute,

Tut mir leid das ich erst jetzt Zeit für eine Antwort gefunden habe...
willy4711 hat geschrieben:Du hast aber nicht verstanden, dass Buster in ungefähr 2 Monaten stable wird.

Nein, dass die Buster Version schon bald stable wird, wusste ich nicht, freut mich aber sehr!
willy4711 hat geschrieben:Zu deinen Spekulationen zu Grml hab ich einfach keine Lust was zu sagen. Gerade heute (Tagesschau 20 Uhr) ließ sich ein Abgeordneter der Grünen darüber aus, das das BKA gezielt Sicherheitslücken aufkauft, die dann nie bekannt werden. Das dadurch 80 Millionen Bundesbürger geschädigt werden sei hinzunehmen.


Nunja, das kommt darauf an. Bloss weil gewisse Schweinereien im Gange sind ist das ja kein Grund, seine Sicherheitsstandards zu vernachlässigen. Zudem lernt man ja nie aus, gerade im Bereich der IT Security.
willy4711 hat geschrieben:Und wenn du Debian misstraust, schaffe deinen Computer ab, und verstecke deine geheimen Unterlagen irgendwo im Wald.
Ich misstraue Debian keineswegs, sonst würde ich diese Distribution gar nicht erst einsetzen... Ganz im Gegenteil : Ich erachte die Debian Distro als die beste der Welt :)

Nochmals Danke an alle für eure Hilfe!

Antworten