(gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 16:19:55

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 13:56:18
Das ganze ist ja nicht so wichtig, aber ich find's halt doof, dass der eigentliche container schon beim Aufrufversuch von cryptsetup Hinz und Kunz genannt wird. Und außerdem würde ich gern ein kleines, feines Fensterchen konstruieren, in dem das Passwort abgefragt wird. :wink:
Wenn nur Hinz und Kunz deine Gegner sind, dann kannst du mit der Offenlegung des Containernamens beruhigt schlafen. LUKS Container haben einen großen Header (um das Schlüsselmaterial über viele Sektoren zu verteilen) und sind leicht zu entdecken wenn die Festplatte einem Gegner in die Hände fällt. Die Qualität liegt im Konzept (http://tomb.dyne.org/Luks_on_disk_format.pdf) des Umgangs mit Passwörtern.

Dass es schickere Fensterchen für die Eingabe geben könnte, ist sicher richtig.

Viel Spaß beim Tüfteln!

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 16:59:50

Nicht schlecht, Thomas, nicht schhlecht! Ich glaube, das probier ich! MEIN container is' ne einfache Datei und da find' ich's schon blöd, dass man deren Pfadnamen sehen kann. Sowas wie keyfile auf Stick und automatisch mounten und systemd-unit (könnte man eigentlich mal zum Unwort des Jahres erklären :mrgreen: ) ist mir viel zu viel overhead. Also nochmal zur Beruhigung, es geht mir nur um eine wenig Optik, sonst nichts. :wink:

Dazu sollte ich jetzt noch wissen, wie man das Bildschirmecho einer Tastatureingabegabe unterdrückt, bzw. durch * oder sowas ersetzt. Ich finde nix (habe wohl keine geeigneten Suchbegriffe).

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 18:01:12

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 16:59:50
MEIN container is' ne einfache Datei und da find' ich's schon blöd, dass man deren Pfadnamen sehen kann.
Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst :lol: ? Verstehe ...

Aber du hast natürlich recht, wenn der Sinn der Verschlüsselung die Privatheit ist, dann sollte man diese nicht durch die Preisgabe von Metadaten (wie Pfadnamen) unterlaufen.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 18:12:11

Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst :lol: ? Verstehe ...
Erwischt! Scheiße! :evil:

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 18:43:44

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 18:12:11
Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst
Erwischt! Scheiße! :evil:
Güüüüünther.... 8O .... muss ich nun Angst haben, dass mir jetzt die Steuerfahndung aujf den Fersen ist, wegen meines Beitrags hier im Thread und dem damit erfüllten Tatbestand Beihilfe zur Steuerhinterziehung? Und sollte ich deshalb jetzt besser meinen caymanbank.container umbennen...?... in was unverfängliches...?... wie "geheimekonten.volume" oder so.... :roll:

Das "Erwischt!" beunruhigt mich ja nun doch....

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 19:25:36

Kann man das PW auch im Klartext in ein für cryptsetup lesbares keyfile schreiben?

Bevor jetzt das Geschrei wieder losgeht, bitte diese Bemerkung von Thomas bedenken:
mir fällt gerade ein, man kann das Keyfile auch einfach direkt nach dem LuksOpen löschen... man braucht es ja wirklich nur für den Moment des Öffnens...

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von pangu » 27.02.2018 19:54:16

Hi guenni,

schau dir mal Debianplymouth an. Das sieht dann richtig schick aus beim Booten und vllt. wirst du damit glücklich 8)
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 20:00:13

Es geht nicht ums Booten.

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 27.02.2018 20:00:56

guennid hat geschrieben: ↑ zum Beitrag ↑
27.02.2018 19:25:36
Kann man das PW auch im Klartext in ein für cryptsetup lesbares keyfile schreiben?
Ja sicher geht das... ich mache das nur.... USB-Stick mit Keyfile rein, an "fixe" Stelle mounten und von dort den Key laden.....

Code: Alles auswählen

/sbin/cryptsetup luksOpen "/dev/disk/by-uuid/8-37c7a1fd215" Crypt_HD --key-file "/var/run/.keys/CryptCredentials"
Und für meine Backupplatten, die ich rotierend antischnüffelsicher ausser Haus lagere, liegt das Keyfile ganz einfach in meinem Homedir.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 20:11:28

Funktioniert hier noch nicht.

Der Plan ist: PW per Debiandialog in eine Variable, diese in ein Keyfile (meinetwegen auch via base64). keyfile wie von dir o.a. bekanntmachen und später container via keyfile per script öffnen und mounten. Hinterher keyfile löschen.

Ich probier noch. Deine Vorgehensweise ist ein paar Nummern zu anspruchsvoll für mich. :wink:

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 20:41:55

Es funktioniert jetzt! Danke!

Code: Alles auswählen

--key-file
Konnten's nicht noch'n paar Bindestriche mehr sein! :twisted: :wink:

DeletedUserReAsG

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von DeletedUserReAsG » 27.02.2018 20:45:59

man cryptsetup hat geschrieben:

Code: Alles auswählen

       --key-file, -d name
              Read the passphrase from file.

              If the name given is "-", then the passphrase will be read from stdin.  In this case, reading will not stop at newline characters.
… einfach die kurze Variante nehmen, wenn „--key-file“ nicht genehm ist …

Wie man dem Auszug weiterhin entnehmen kann, kann das Keyfile auch gerne von stdin kommen – dann muss man’s nicht erst irgendwo hinschreiben und dann wieder löschen.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 21:07:44

… einfach die kurze Variante nehmen, wenn „--key-file“ nicht genehm ist …
Is' ja genehm, man darf doch mal öffentlich "Schei..." schreien! :wink:
Wie man dem Auszug weiterhin entnehmen kann, kann das Keyfile auch gerne von stdin kommen
Hmmm, also eigentlicher Zweck der Übung ist ja, den nun wirklich nicht besonders gelungenen cryptsetup-Dialog für die PW-Eingabe loszuwerden, ohne gleich das PW irgendwo dauerhaft zu speichern.

Ob ich deinen Auszug in diesen Horizont gedacht kriege, darüber will ich nachdenken.

DeletedUserReAsG

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von DeletedUserReAsG » 27.02.2018 21:16:18

guennid hat geschrieben: ↑ zum Beitrag ↑
27.02.2018 21:07:44
also eigentlicher Zweck der Übung ist ja, den nun wirklich nicht besonders gelungenen cryptsetup-Dialog für die PW-Eingabe loszuwerden, ohne gleich das PW irgendwo dauerhaft zu speichern.
Du könntest aus deinem eigenen Script die eingegebene Passphrase direkt mit Ein-/Ausgabeumlenkung an cryptsetup durchreichen, ohne sie zwischenspeichern und anschließend löschen zu müssen.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 21:32:11

Danke sehr!

Du weißt ich bin nicht so der Fitteste, aber wenn das geht, dann kriege ich das auch irgendwie und irgendwann hin.

NAB
Beiträge: 5501
Registriert: 06.03.2011 16:02:23
Lizenz eigener Beiträge: MIT Lizenz

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von NAB » 27.02.2018 21:39:09

So als grober Ansatz

Code: Alles auswählen

#!/bin/sh
passwort="günni is der chefhacker"
echo $passwort | cryptsetup luksOpen /deine/verschlüsselte/Datei ziel -d -
Statt das Passwort fest reinzuschreiben, könnte man natürlich auch Zenity oder sowas bemühen.
(Ich bin mir nicht sicher, ob echo hier ein "-n" braucht, damit es keinen Zeilenumbruch einfügt)

Das Script nennste dann "therapeut.sh" und über der Passwortabfrage steht drüber "Erzählen Sie mir von ihren Problemen" ;)
Never change a broken system. It could be worse afterwards.

"No computer system can be absolutely secure." Intel Document Number: 336983-001

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 28.02.2018 10:01:34

NAB hat geschrieben:(Ich bin mir nicht sicher, ob echo hier ein "-n" braucht, damit es keinen Zeilenumbruch einfügt)
Braucht es. :wink:

Dankeschön an alle Mitwirkenden. :THX: Ist das scripting von allgemeinerem Interesse?

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: (gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von McAldo » 02.04.2019 12:52:49

Ja, ist es. Gerne darfst du es posten.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

guennid

Re: (gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 02.04.2019 14:44:11

Ähmm, ernsthaft? Du bist der erste seit über einem Jahr, den's interessiert.

Ich muss mal kramen. :wink:

Grüße, Günther

Antworten