Aktueller Status von Daten-Verschlüsselung

[wanne]

Wenn /tmp ein tmpfs ist, dauert es halt ein paar zehntel Sekunden, um das beim Booten anzulegen.

Es geht um Daten, die Programme da erzeugen. Früher waren das z.B. gerne Grafiken die erst berechnet werden und dann immer wieder verwendet werden. (3D-Scrensaver etc.)

aber vielleicht gibt es ja doch gute Implementierungen?

Vielleicht. Sogar wahrscheinlich. Die frage ist eher ob du dich auf vielleicht verlassen möchtest. Microsoft hat da lange Zeit ein Blacklist geführt. Irgend wann wurde die so riesig, dass sie es sein lassen haben und das gar nicht mehr verwenden. Praktisch jede untersuchte Platte hatte massive Mängel. Dazu kamen diverse BIOSe/EFIs, die die Keys raus tragen. Irgend wann hat man da halt aufgegeben. Das ist wie HTTP-Pipelining. Zu viele kaputte Implementierungen, als dass das irgend jemand verwenden will. Jetzt kommt halt QUIC bzw. http/3 als Alternative.

Joa ist tmpfs, aber ich meinte eher das es schon default so war.

Ich meine Installationen die als Debian 9 oder 10 installiert wurden haben das so ältere nicht.

[MSfree]

Wie ist es denn nun eigentlich mit der Hardware-Encryption moderner SSDs?

Möchtest du dich wirklich darauf verlassen?

So weit ich weiß, setzt man dazu ein Paßwort für die Platte/SSD im BIOS/UEFI. Dreimal falsch und die Platte/SSD ist permanet gesperrt. Du kannst sie nicht durch üebrschreiben mit Nullen reinitialisieren -> Elektroschrott. Eine Technik, für die es keine Möglichkeit gibt, selbst unter Verlust der Daten das Gerät wieder verwendbar zu machen, ist mir zutiefst suspekt.

Wie gut die Verschlüsselung ist, mag ich gar nicht beurteilen. Aber ich würde den Herstellern durchaus zutrauen, daß die mit Rot13 arbeiten und uns das als supersicher anpreisen.

[smutbert]

Schwächen oder Hintertüren hat es bei externen Festplatten und USB-Sticks mit Verschlüsselungsfunktionen ja bereits oft genug gegeben.

Ich habe im Repository noch etwas gefunden, was für mich so klingt, als wäre es genau das was der TE sucht, ob man es nun für sinnvoll hält oder nicht:
- encfs
- libpam-encfs

[Spindoctor]

So weit ich weiß, setzt man dazu ein Paßwort für die Platte/SSD im BIOS/UEFI. Dreimal falsch und die Platte/SSD ist permanet gesperrt. Du kannst sie nicht durch üebrschreiben mit Nullen reinitialisieren -> Elektroschrott. Eine Technik, für die es keine Möglichkeit gibt, selbst unter Verlust der Daten das Gerät wieder verwendbar zu machen, ist mir zutiefst suspekt.

Ist das echt so? Woher sind diese Informationen? Meine beiden Platten (hier und hier) setzen jedenfalls beide auf AES-256-Verschlüsselung.

Zumindest bei einer der beiden Platten ist auch OPAL 2.0 spezifiziert. Der Heise-Artikel dazu ist leider hinter einer Pay-Wall, aber im öffentlichen Teil steht bereis:

Ein Self-Encrypting Drive (SED), egal ob Festplatte oder SSD, schreibt ausschließlich verschlüsselte Daten auf seine Magnetscheiben oder in seine Chips. Die Verschlüsselung – meistens AES128 oder AES256 – lässt sich nicht abschalten. Den geheimen Schlüssel generiert die SED-Elektronik selbst.

Meines Wissens kann man mit sedutil die Verschlüsselung managen, also nicht NUR im BIOS/UEFI.

Allerdings wirkt das sedutil-Projekt in Github sehr stabil - oder eben sehr schlecht gepflegt. Außerdem verlässt man sich (auch mit AES-256), wie Du (MSfree) schon schreibst darauf, dass der Hersteller keine Hintertür oder Fehler in der Implementierung hinterlassen hat.

Vielleicht gibt es noch weitere Nachteile... jedenfalls genießt SED nicht unbedingt einen guten Ruf...

[Spindoctor]

Ich habe im Repository noch etwas gefunden, was für mich so klingt, als wäre es genau das was der TE sucht, ob man es nun für sinnvoll hält oder nicht:
- encfs
- libpam-encfs

Danke smutbert. Klingt gut. EncFS kannte ich bereits, libpam-encfs noch nicht. Leider habe ich keine halbwegs aktuelle Anleitung dafür gefunden, wie man das implementiert. Wirkt so, als hätte die Welt daran auch das Interesse verloren?
Bzw. ist es wirklich einfach zu integrieren?

Insgesamt glaub ich, haben mich die vielen kritischen Stimmen hier schon halbwegs überzeugt, dass mein ursprüngliches Vorhaben vielleicht eh nicht so sinnvoll ist.