Bei Installation verschlüsseln (Auch Swap und Boot)

[mcb]

Sorry ich kenne dein Gefährdungslevel nicht.

Aber der Installer überschreibt das Cryptodevice mit Zufallszahlen.

Sicher wäre es auch vor der Installation ein Secureerase auf der SSD abzusetzen Bios/UEFi <-> Überschreiben funktioniert bei SSDs nicht richtig ..

das könnte man sich nach dem Secureerase sowieso schenken (mein Kenntnisstand).

[rhHeini]

dd soll ich doch nicht nehmen

Ja bei dd man muss schon wissen was man tut.

Alternativ kannst Du einfach den Installer sein Werk verrichten lassen. Wenn Du da ein verschlüsseltes Device anlegst, fragt der Dich ob er das Device überschreiben soll. Geht bei einer SSD recht fix, kann bei grösseren Festplatten dann aber dauuuuuuuuuuuern. Bis zu Tagen.

Wenn Du den graphischen Installer verwendest hast Du quasi eine GUI.

Noch ne andere Idee: probier doch erst mal in einer VM auf Windows aus was da auf Dich zukommt.

Rolf

[LinuxNewcomer]

Für dieses secure erase gibt's da was für Windows ? Dann könnte ich die 250er SSD dort mit einstecken. Der ist Recht potent, i9 10900k 32ram und sie dort einmal lösche . Dann mit dem install3r drüber.

[wanne]

dann kommt Error und was mit keinen Speicher vorhanden.

Äh ja das ist die Idee so lange nullen rein zu schreiben, bis kein Speicher mehr vorhanden ist...

Der will nicht, es kommt ewig nichts,

progress oder pv können dir den Fortschritt anzeigen:

Code: Alles auswählen

pv /dev/zero > /dev/sdx

Code: Alles auswählen

cp /dev/zero /dev/sdx &
progress -m -p $!

Der ist Recht potent, i9 10900k 32ram und sie dort einmal lösche .

Die SSD ist so schnell wie sie ist. Das wird nicht schneller von einer schnelleren cpu, (Esseiden du nutzt /dev/urandom, was deutlich langsamer als die SSD ist. Aber das gibt es unter Windows eh nicht.)

[LinuxNewcomer]

Ach so dann ist das erfolgreich abgeschlossen, dachte da kommt eine andere Meldung, das es erledigt ist. Wenn da was mit Error steht, war ich etwas unsicher. Ja klar aber wenn du das so sagst macht es dann Sinn. Write error nicht genug freier Speicher. So das ist jetzt aber lückenhaft ? Weil die SSD versteckt und nach schiebt ? Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen. Aber vllt bei einer 250gb SSD doch Recht schnell. So 15min schätze ich.

Blkdiscard kam die Meldung das es nicht unterstützt wird, mit -- secure.

Das mit der PC Leistung, hatte ich glaube mit dem Verschlüsseln verwechselt, da das ja durch die CPU berechnet wird.

[MSfree]

Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen.

Wenn man z.B. eine 14TB Festplatte auf die Art mit Zufallszahlen überschreieben will, kann das eine halbe Ewigkeit dauern. Selbst, wenn /dev/urandom schnell genug Zahlen liefert, bremst die Festplatte. Ich rechne als Daumenregel bei Festplatte mit durchschnittlich 100MByte/s, bei 14TB würde es also 140000 Sekunden dauern, bis die Beschrieben ist, also rund 1.5 Tage. Wie gesagt, alles Pi mal Daumen, aber selbst bei einer doppelt so schnellen Festplatte würde es noch 18 Stunden dauern.

Heutige SSDs beschreibt man mit mindestens 300MByte/s, was bei 250GB 833 Sekunden dauern würde, also rund 15 Minuten. Auch hier gibt es deutlich schnellere Modelle.

[wanne]

Write error nicht genug freier Speicher. So das ist jetzt aber lückenhaft ? Weil die SSD versteckt und nach schiebt ?

Nein. Einfach weil /dev/zero oder /dev/urandom unendlich groß sind. Und entsprechend auf keine noch so große Platte passen werden. Deswegen der Fehler, wenn die Platte voll ist. Da geben dir die tools aber fast exakt die Selbe Fehlermeldung:

Code: Alles auswählen

cat: write error: No space left on device
dd: error writing '/dev/sdx': No space left on device
cp: error writing '/dev/sdx': No space left on device
pv: write failed: No space left on device

Hätte gedacht dauert länger. Lese hier immer von Stunden oder gar Tagen.

Wie schon angemerkt rotierende Festplatten sind durch die Airodynamik in ihrer Rotationsgeschwindigkeit begrenzt üblicherweise 5400-7200rpm. Und da zum überschreiben jeder Ring mit Daten ein mal abgefahren werden muss... Ergibt sich da ne ziemlich feste Lesegeschwindigkeit auf die Plattengröße die mit der in der Wurzel zu nimmt. Für ne 2TiB Platte bei 5400rpm bist du da bei gut 5h für 4TiB sinds ~8h und bei 14TiB wärst du bei ~15h. Aber SSDs sind schneller und vor allem viel kleiner.

Aber villt bei einer 250gb SSD doch Recht schnell. So 15min schätze ich.

14min wären 300MB/s oder die Geschwindigkeit von SATA2. Würde mal tippen, dass die über genau das angeschlossen ist...

Das mit der PC Leistung, hatte ich glaube mit dem Verschlüsseln verwechselt, da das ja durch die CPU berechnet wird.

Die zufallszahlen werden tatsächlich über Verschlüsselung erzeugt. Unter anderem deswegen ist die urandom-Methode so langsam. Openssl nutzt hardwarebeschleunigung und AES. Das dürfte schneller als die Festplatte sein. Nullen erzeguen sowieso.

Btw. Pass ein bisschen beim Sielen auf: SSDs nutzen sich beim Schreiben ab. Bei "normaler" Nutzung ist das eher irrelevant. Aber du schreibst hier jedes mal 250GiB. Du kannst das Spiel üblicherweise so 500mal spielen.

[MSfree]

Btw. Pass ein bisschen beim Sielen auf: SSDs nutzen sich beim Schreiben ab. Bei "normaler" Nutzung ist das eher irrelevant. Aber du schreibst hier jedes mal 250GiB. Du kannst das Spiel üblicherweise so 500mal spielen.

Naja, Heise hatte das mal mit 250GB SSDs getestet und kam im schlechtesten Fall auf 1000 Zyklen:
https://www.heise.de/newsticker/meldung ... 55009.html

Zwar bildeten die beiden Exemplare von Crucials BX200 die Schlusslichter, aber selbst sie erreichten 187 respektive 280 TByte

Eine Samsung hat 9.1PByte geschafft, also über 35000 Zyklen.

[wanne]

Naja, Heise hatte das mal mit 250GB SSDs getestet und kam im schlechtesten Fall auf 1000 Zyklen:

Ich habe einfach mal die Herstellerangaben genommen. Dass die im Normalfall um ne Größenordnung nicht stimmen weiß ich von unseren Scratch-Dateisystemen. Du hast also vom Prinzip her vollständig recht. Aber ich hatte tatsächlich auch schon welche, die früher aufgegeben haben. (Und dass dann auch ohne Kommentar. Überschreiben funktionierte ohne Fehler einfach nicht mehr.) Insbesondere bei den kleinen. 12 Platten sind halt einfach keine Basis. Ich nehme an, dass die Hersteller deswegen so vorsichtig sind.

[LinuxNewcomer]

Oh ok, dann sollte ich nicht groß weiter löschen und überschreiben.

Hätte es auch so machen können ? Dann hätte ich sicheres löschen.

Schreiben Sie Parted Magic auf einen USB-Stick, das erledigt zum Beispiel das Tool Rufus. Booten Sie dann Ihr System vom Stick und klicken Sie in Parted Magic unter "System Tools" auf "Erase Disk". Das Tool bietet Ihnen einige Optionen an, wählen Sie ganz unten "Internal Secure Erase command" aus.

[MSfree]

Aber ich hatte tatsächlich auch schon welche, die früher aufgegeben haben.

Die meisten Otto-Normalanwender zucken halt panikartig zusammen, wenn man sagt, daß man durch das Füllen der SSD mit Zufallszahlen, einen kompletten Schreibzyklus von der Lebenserwaruntg abziehen muß. Man sollte das schon ein wenig im Verhältnis zur normalen Nutzung sehen.

Heise sagt zwar was von 40GB Schreibleistung pro Tag für einen Büro-PC, aber das bezieht sich wohl auf den typischerweise mit asthmatischen Mengen an RAM bestückten Büro-Windows-Kisten, die dann erheblich zu viel swappen. Die 120GB SSD in meinem Heimserver, die nur das System und mein Postfach enthält, hat in den letzten 7 Jahren 1TB Lifetime Writes gehabt. Selbst, wenn die SSD nur die halbe Schreibleistung ereicht, die der Hersteller angibt müßte ich insgesamt 32TB darauf pinseln können. Das reicht für weitere 217 Jahre.

Und wenn man davon ein einmaliges Beschreiben mit Zufallszahlen abzieht, würde es immer noch für weitere 215 Jahre reichen.

[wanne]

Schreiben Sie Parted Magic auf einen USB-Stick, das erledigt zum Beispiel das Tool Rufus. Booten Sie dann Ihr System vom Stick und klicken Sie in Parted Magic unter "System Tools" auf "Erase Disk". Das Tool bietet Ihnen einige Optionen an, wählen Sie ganz unten "Internal Secure Erase command" aus.

Ja. Das ruft intern das von mir anfangs empfohlene hdparm auf. Leider gibt es da ein paar Stolpersteine, weshalb ich das ungerne empfehle. Aber wenns funktioniert ist das perfekt.

Und wenn man davon ein einmaliges Beschreiben mit Zufallszahlen abzieht, würde es immer noch für weitere 215 Jahre reichen.

Jaja. Ein mal ist total harmlos. Aber wenn man jetzt fett Benchmarks mit zig durchläufen welches die schnellste Variante ist startet wirds irgend wann problematisch.

Die 120GB SSD in meinem Heimserver, die nur das System und mein Postfach enthält, hat in den letzten 7 Jahren 1TB Lifetime Writes gehabt.

Das ist aber auch das andere Extrem.
Meine /-Platte hat 7.4TiB in 3 Jahren. Die Spieleplatte 1TiB in nem halben Jahr. (Power On Hours nicht Lebenszeit) Und das schlimme sind die home Platten weil Firefox und Chrome da sinnlos wie wild darauf ein hämmern. (Kann man btw. abschalten.) Leider habe ich da keine Werte.

[LinuxNewcomer]

Ich bau die jetzt einfach intern in den Win Rechner und mache das mit Samsung Magician, das hat ja auch Secure Erase an Board, dann sollte das die beste Lösung sein und auch zu 100% funktionieren. Die kostenlose Parted läuft nicht, da startet nichts nach Auswahl.
Man sollte das aber glaub nicht über USB machen sondern intern anstecken.

[jph]

Habe ich das richtig gelesen; für ein popliges ATA Secure Erase soll die Platte umgebaut werden? Das geht problemlos über die Shell (https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase) oder grafisch in der GNOME-Laufwerksverwaltung.

[LinuxNewcomer]

Habe ich das richtig gelesen; für ein popliges ATA Secure Erase soll die Platte umgebaut werden? Das geht problemlos über die Shell (https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase) oder grafisch in der GNOME-Laufwerksverwaltung.

Also die Anleitung mit hdparm hats schon in sich. Mit dem PW hin und her. Gnome Disks Utility meinst du ?

[LinuxNewcomer]

Es soll wohl nicht so sein. Mit Samsung Magician einen USB Stick erstellt neu gestartet und er Boote nicht mit dem Stick. Auswählen kann ich ihn aber kaufen tut da nichts. Das ganze noch einmal wiederholt nichts. Auch über das BIOS könnte ich secure erase + benutzen hier weiß ich aber nicht welche SSD er nimmt, konnte keine auswählen.

Schau mir heute Nachmittag noch mal diese Gnome Geschichte an, ob's damit klappt. Partner Magic kostet Geld die alte Version läuft nicht. Ist doch verhext. Hätte nie gedacht das das so anstrengend ist eine SSD sauber zu löschen.

[wanne]

Ich hatte ja gewart, dass die hdparm sachen kompliziert werden...
Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...

Hätte nie gedacht das das so anstrengend ist eine SSD sauber zu löschen.

Das Problem ist noch mehr aufgefallen. Deswegen macht man einfach von Anfang an Crypto drauf und dann kann man einfach den Schlüssel vergessen wenn man die Daten unzugänglich machen will. Wie Apple und google auf ihren Handys.

[smutbert]

Was ist denn ein geMACtes /boot?

Ein MAC (Message Authetication Code) ist ein Anhängsel um zu erkennen ob etwas verädert wurde. Ich habe versucht das einzudeutschen... luks2 kann sowas in die Verschlüsslung integrieren.
[...]

Ok, ein Mac ist dann in etwa dasselbe wie eine Signatur – eine Art mit dem privaten Schlüssel verschlüsselte Prüfsumme?
Und wer könnte so einen MAC von /boot prüfen?

[wanne]

Ok, ein Mac ist dann in etwa dasselbe wie eine Signatur – eine Art mit dem privaten Schlüssel verschlüsselte Prüfsumme?

Der Unterschied zwischen einem MAC und einer Signatur ist, dass es bei einem MAC ein symetrischer Schlüssel ist. (Zum überprüfen und erstellen wird der selbe Schlüssel, den den du mit deinem Festplattenpasswort bekommst, genutzt) während bei einer Signatur das Überprüfen auch ohne den privaten Schlüssel zu haben möglich ist. Letztere sind deswegen ungleich komplizierter.

Und wer könnte so einen MAC von /boot prüfen?

luks2 (das im Kernel eingebaut ist) tut das beim Lesen. Wenn du jetzt signiert deinen Kernel hast, dein EFI den Kernel überprüfen und der Kernel dann die MAC. Wenn du also deinem EFI-Hersteller glaubst, dass das nicht verändert werden kann...

[LinuxNewcomer]

Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...

Ich kam an die M2 SSD nicht ran, also hab ichs riskiert, die anderen abgesteckt. Aber vor dem löschen kam dann noch mal eine Abfrage, welche SSD. Wäre ja auch sinnlos ohne Abfrage. Etwas verwirrend der ganze Ablauf. Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

[mcb]

Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...

Ich kam an die M2 SSD nicht ran, also hab ichs riskiert, die anderen abgesteckt. Aber vor dem löschen kam dann noch mal eine Abfrage, welche SSD. Wäre ja auch sinnlos ohne Abfrage. Etwas verwirrend der ganze Ablauf. Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

Ja ein Secureerase dauert bei einer SSD max 2min.

[wanne]

Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

Ja. Die meisten SSDs machen längst das von mir geforderte: Alles von Anfang an AES verschlüsseln und dann einfach den Key löschen. Das geht dann in Bruchteilen von Sekunden. Dann muss sie noch tricksen, dass sie in Zukunft für alle nicht mehr entschlüsselbaren Bereiche Nullen ausgibt. Aber auch das ist relativ flott passiert.

[LinuxNewcomer]

Sodele ist das so nun richtig ?







Bei der Swap steht nichts von crypt, bin aber bei der Install auf ganze Platte verschlüsseln und alles auf eine Partition.

[LinuxNewcomer]

Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.

Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten

Hm nach dem installieren kommt direkt ::

Code: Alles auswählen

W: Possible missing firmware

Jede menge Zeilen hinten mit for module r und eine Zahl

Code: Alles auswählen

dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!

Was ging hier schief, wie bekomme ich das zum laufen ?

[smutbert]

Ohje, hoffentlich kann da jemand anderes etwas sagen, der dropbear besser kennt. Der Meldung nach klappt etwas mit dem öffentlichen Schlüssel, den du zur Authentifizierung in die initrd packen musst, nicht, also irgendetwas ab dem ssh-keygen-Kommando in 2.2 der Anleitung.

Ich hab das alles noch nie gemacht, aber hier [1] ist die Rede davon, dass sich einige Pfade geändert haben, zB »/etc/dropbear-initramfs/authorized_keys« statt »/etc/initramfs-tools/root/.ssh/authorized_keys«. Mir fehlt ein bisschen der Überblock ob das schon alles ist und es genügen könnte den öffentlichen Schlüssel nach »/etc/dropbear-initramfs/authorized_keys« zu kopieren und die initrd neu zu bauen.

[1] https://unix.stackexchange.com/question ... -keys-file