Bei Installation verschlüsseln (Auch Swap und Boot)

Alles rund um sicherheitsrelevante Fragen und Probleme.
LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 25.03.2021 07:11:48

Es soll wohl nicht so sein. Mit Samsung Magician einen USB Stick erstellt neu gestartet und er Boote nicht mit dem Stick. Auswählen kann ich ihn aber kaufen tut da nichts. Das ganze noch einmal wiederholt nichts. Auch über das BIOS könnte ich secure erase + benutzen hier weiß ich aber nicht welche SSD er nimmt, konnte keine auswählen.

Schau mir heute Nachmittag noch mal diese Gnome Geschichte an, ob's damit klappt. Partner Magic kostet Geld die alte Version läuft nicht. Ist doch verhext. Hätte nie gedacht das das so anstrengend ist eine SSD sauber zu löschen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 25.03.2021 11:24:36

Ich hatte ja gewart, dass die hdparm sachen kompliziert werden...
Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...
Hätte nie gedacht das das so anstrengend ist eine SSD sauber zu löschen.
Das Problem ist noch mehr aufgefallen. Deswegen macht man einfach von Anfang an Crypto drauf und dann kann man einfach den Schlüssel vergessen wenn man die Daten unzugänglich machen will. Wie Apple und google auf ihren Handys.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 25.03.2021 11:45:47

wanne hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 17:58:08
smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 16:47:26
Was ist denn ein geMACtes /boot?
Ein MAC (Message Authetication Code) ist ein Anhängsel um zu erkennen ob etwas verädert wurde. Ich habe versucht das einzudeutschen... luks2 kann sowas in die Verschlüsslung integrieren.
[...]
Ok, ein Mac ist dann in etwa dasselbe wie eine Signatur – eine Art mit dem privaten Schlüssel verschlüsselte Prüfsumme?
Und wer könnte so einen MAC von /boot prüfen?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 25.03.2021 13:58:13

smutbert hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 11:45:47
Ok, ein Mac ist dann in etwa dasselbe wie eine Signatur – eine Art mit dem privaten Schlüssel verschlüsselte Prüfsumme?
Der Unterschied zwischen einem MAC und einer Signatur ist, dass es bei einem MAC ein symetrischer Schlüssel ist. (Zum überprüfen und erstellen wird der selbe Schlüssel, den den du mit deinem Festplattenpasswort bekommst, genutzt) während bei einer Signatur das Überprüfen auch ohne den privaten Schlüssel zu haben möglich ist. Letztere sind deswegen ungleich komplizierter.
smutbert hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 11:45:47
Und wer könnte so einen MAC von /boot prüfen?
luks2 (das im Kernel eingebaut ist) tut das beim Lesen. Wenn du jetzt signiert deinen Kernel hast, dein EFI den Kernel überprüfen und der Kernel dann die MAC. Wenn du also deinem EFI-Hersteller glaubst, dass das nicht verändert werden kann...
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 25.03.2021 16:30:01

wanne hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 11:24:36
Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...
Ich kam an die M2 SSD nicht ran, also hab ichs riskiert, die anderen abgesteckt. Aber vor dem löschen kam dann noch mal eine Abfrage, welche SSD. Wäre ja auch sinnlos ohne Abfrage. Etwas verwirrend der ganze Ablauf. Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 25.03.2021 16:41:59

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 16:30:01
wanne hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 11:24:36
Wenn dein BIOS das kann würde ich einfach alle Platten ausbauen und das benutzen...
Ich kam an die M2 SSD nicht ran, also hab ichs riskiert, die anderen abgesteckt. Aber vor dem löschen kam dann noch mal eine Abfrage, welche SSD. Wäre ja auch sinnlos ohne Abfrage. Etwas verwirrend der ganze Ablauf. Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.
Ja ein Secureerase dauert bei einer SSD max 2min.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 26.03.2021 08:57:35

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
25.03.2021 16:30:01
Aber das war innerhalb von ein paar Sekunden erledigt. Kann das sein ? Laut Beschreibung, ist wie Werks neu. Es könnten keine Daten mehr geholt werden und alles ist zurück gesetzt.
Ja. Die meisten SSDs machen längst das von mir geforderte: Alles von Anfang an AES verschlüsseln und dann einfach den Key löschen. Das geht dann in Bruchteilen von Sekunden. Dann muss sie noch tricksen, dass sie in Zukunft für alle nicht mehr entschlüsselbaren Bereiche Nullen ausgibt. Aber auch das ist relativ flott passiert.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 26.03.2021 17:54:56

Sodele ist das so nun richtig ?

Bild

Bild

Bild

Bei der Swap steht nichts von crypt, bin aber bei der Install auf ganze Platte verschlüsseln und alles auf eine Partition.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 26.03.2021 18:06:40

smutbert hat geschrieben: ↑ zum Beitrag ↑
23.03.2021 16:45:32
Ja, bei luks kann man die Passphrase ändern – der eigentliche Schlüssel bleibt aber der gleiche (sonst müsste man ja alles neu verschlüsseln). Ich glaube das läuft etwa so ab, dass der mit einem von der Passphrase abgeleitenen Schlüssel verschlüsselte eigentliche Schlüssel im luks-Header gespeichert wird.
So kann man auch mehrere unterschiedliche gültige Passphrases haben und sie wieder löschen und/oder ändern – mit dem Nachteil, dass man bei SSDs defakto nicht prüfen kann ob die Daten einer alten Passphrase tatsächlich gelöscht wurden.

Auch das mit dem Terminal sollte meines Wissens mit ssh klappen. Habe sie mir jetzt selbst nicht durchgelesen, aber eine Anleitung gäbe es hier:
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
Hm nach dem installieren kommt direkt ::

Code: Alles auswählen

W: Possible missing firmware
Jede menge Zeilen hinten mit for module r und eine Zahl

Code: Alles auswählen

dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!
Was ging hier schief, wie bekomme ich das zum laufen ?

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 26.03.2021 23:00:46

Ohje, hoffentlich kann da jemand anderes etwas sagen, der dropbear besser kennt. Der Meldung nach klappt etwas mit dem öffentlichen Schlüssel, den du zur Authentifizierung in die initrd packen musst, nicht, also irgendetwas ab dem ssh-keygen-Kommando in 2.2 der Anleitung.

Ich hab das alles noch nie gemacht, aber hier [1] ist die Rede davon, dass sich einige Pfade geändert haben, zB »/etc/dropbear-initramfs/authorized_keys« statt »/etc/initramfs-tools/root/.ssh/authorized_keys«. Mir fehlt ein bisschen der Überblock ob das schon alles ist und es genügen könnte den öffentlichen Schlüssel nach »/etc/dropbear-initramfs/authorized_keys« zu kopieren und die initrd neu zu bauen.

[1] https://unix.stackexchange.com/question ... -keys-file

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 27.03.2021 10:41:07

Irgendwie läufts noch nicht rund. Die Sys Platte scheint ja verschlüsselt zu sein. So jetzt hab ich mir Gnome Disks Utily heruntergeladen und eine 4TB HDD verschlüsseln wollen. Neue Partition erstellt, mit Verschlüsselung. Das lief Stunden, bis heute morgen um 2 Uhr, das Kreischen drehte sich immer noch und es gab keine Änderung. Die Platte ist leer. Ich hatte zuvor das ganze mal mit Vera Crypt probiert, vor ein paar Tagen, da wars nach ca. 5h erledigt.

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 27.03.2021 11:39:36

Poste doch mal die Ausgabe von

Code: Alles auswählen

lsblk

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von smutbert » 27.03.2021 13:17:00

Beim grafischen Tools wie gnome-disks bin ich mir ja oft nicht sicher was das alles macht. Wenn es zB die Partition bei der Verschlüsselung vorher mit Zufallsdaten überschreiben will, kann das ja durchaus mehrere Stunden dauern, wenn gnome-disks wenig effizient arbeitet auch Tage.
Dazu kommt, dass gnome-disks und andere grafische Programme sich gegenseitig bei udisks2 um (exklusiven) Zugriff auf die Festplatte/SSD/Partition/... streiten und so auch mitunter gegenseitig oder sogar selbst blockieren. So etwas würde ich immer lieber auf der Kommandozeile machen...

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 27.03.2021 13:42:17

Wie würde das denn auf der Kommandozeile aussehen ? Vor allem so das wenn der Server bootet ich nur einmal ein PW eingeben muss und alle Platten entschlüsselt sind. Das Login nach dem Start kann ich mir dann auch sparen ? Kommt ja keiner weiter vor dem Boot ohne passendes PW.
Kann ich den Server eigentlich in Bereitschaft schicken lassen, wird er nicht gebraucht ? So muss ich nicht jedes mal das PW eingeben fürs entschlüsseln oder ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 27.03.2021 17:39:45

mcb hat geschrieben: ↑ zum Beitrag ↑
27.03.2021 11:39:36
Poste doch mal die Ausgabe von

Code: Alles auswählen

lsblk

Code: Alles auswählen

homeserver@homeserver:~$ lsblk
NAME                        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                           8:0    0 232,9G  0 disk  
├─sda1                        8:1    0   512M  0 part  /boot/efi
├─sda2                        8:2    0   488M  0 part  /boot
└─sda3                        8:3    0 231,9G  0 part  
  └─sda3_crypt              254:0    0 231,9G  0 crypt 
    ├─homeserver--vg-root   254:1    0   231G  0 lvm   /
    └─homeserver--vg-swap_1 254:2    0   980M  0 lvm   [SWAP]
sdb                           8:16   0 298,1G  0 disk  
└─sdb1                        8:17   0 298,1G  0 part  
sdc                           8:32   0   3,7T  0 disk  
└─sdc1                        8:33   0   3,7T  0 part  
sdd                           8:48   0   2,7T  0 disk  
└─sdd1                        8:49   0   2,7T  0 part  
homeserver@homeserver:~$ 
Also ich hab ja gestern einfach ausgeschaltet. Heute mal wieder gestartet und es scheint doch fertig gewesen zu sein. Vllt hat sich die Anzeige gestern aufgehängt ? Im Manager steht jetzt 4TB LUKS und ein Schloss. Aber beim Entschlüsseln gibt es eine Fehlermeldung.

Error unlocking - failed to activate device. Operation not permitted. udisks-error-quark,

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 27.03.2021 21:09:27

Ok - die swap ist also doch verschlüsselt. :)

Die hdd kannst du ruhig mit gnome disks einrichten.

Alternativ:

https://www.grund-wissen.de/linux/daten ... elung.html

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 27.03.2021 21:17:04

https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 09:23:31

mcb hat geschrieben: ↑ zum Beitrag ↑
27.03.2021 21:09:27
Ok - die swap ist also doch verschlüsselt. :)
War nach oder bei der Install nicht ersichtlich. Aber so hätte ich jetzt auch gesagt, die Swap ist verschlüsselt, weil die in dem Hauptknoten mit drin steckt. Wenigstens etwas :-)

Das mit der 2. Disk muss ich mal noch mal probieren. Einfach wieder frisch partitionieren ?

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 09:31:40

mcb hat geschrieben: ↑ zum Beitrag ↑
27.03.2021 21:17:04
https://cryptsetup-team.pages.debian.net/cryptsetup/

Encrypting a second hard drive on Ubuntu (post-install)
https://davidyat.es/2015/04/03/encrypti ... t-install/

Sorry ich kann es dir jetzt nicht 100%ig erklären, aber die dritte Anleiung hat mir schon gut geholfen.
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.

Ist das eine starke und aktuelle Verschlüsselung ?

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 28.03.2021 13:51:33

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 09:31:40
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
Ist das eine starke und aktuelle Verschlüsselung ?
AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 28.03.2021 16:03:22

wanne hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 13:51:33
LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 09:31:40
Cryptsetup ist wieder ne andere App. Wollte das mit Boardmitteln erledigen, das war extra so geplant, sonst könnte ich das auch wieder mit VeraCrypt machen, da gings recht easy, nur ist das wohl nicht so schnell wie wenn mans über Boardmittel macht.
Mehr Boardmittel wie cryptsetup geht nicht.
Der Linux-Kernel selbst bietet nur eine C-API. Wenn du also kein C-Programm schreiben willst, musst du immer ein extra Tool nutzen.
Aber cryptsetup ist in sofern kein extra tool, dass es
a) nicht selbst Verschlüsslung oder so macht. Es ruft lediglich die C-API des Kernels auf und weißt diesen an, die Verschlüsslung vor zu nehmen.
b) vom den selben Menschen geschrieben wurde wie der entsprechende Kernel Teil.
Siehe:
https://git.kernel.org/pub/scm/linux/ke ... h=v4.4.263
https://gitlab.com/cryptsetup/cryptsetu ... er/AUTHORS
Ist das eine starke und aktuelle Verschlüsselung ?
AES ist von 1998. Gilt aber noch immer als Gold Standard

Code: Alles auswählen

sudo cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/sdX1
Wenn nimm (Beil Platten über 64GiB) den Default aes-xts-plain64. Ich würde immer noch -c aes-cbc-essiv:sha256 -s 128 vorziehen, da schneller und defakto keine Nachteile. (cbc ist einfacher malable. Aber wenn du wirklich irgend welche abgesicherte Hardware hast auf der es sich lohnt sowas zu verhindern (eher nicht) willst du -I nutzen dass das wirklich unterbinden statt XTS, dass das nur erschwert.) Wenn du AES 256 statt AES 128 (Man kann hoffen dass die längeren Schlüssel für mehr Sicherheit sorgen. Real ist AES 256 nach momentanem Kenntnisstand eher schneller zu knacken. Das würde sich mit extrem schnellen Quantencomputern ändern. Die sind aber absolut nicht in Sicht. (Das ist etwas völlig anderes wie bei ECDSA, wo relativ langsame erfolgreiche Angriffe fahren könnten und auch da existieren keine passenden.)) haben willst nimm -s 256.
Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128
Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 28.03.2021 18:38:13

Also AES 128 besser als AES 256 ? Also würde ich so gut fahren :
AES 128 ist minimal schneller bzw. eher stromsparender. Da 256 ~40% mehr Rechenaufwand ist bevorzuge ich 128. Welches besser ist, ist IMHO eher Glaubensfrage.
Was macht den Gnome Disks Utility ? Was nimmt das für eine Verschlüsselung ?
Ich tippe, dass das die defaults nehmen wird also aes-xts-plain64 mit AES-265 (also -s 512) (XTS halbiert die Schlüssellänge.) Wie gesagt: Das schenkt sich alles wenig. Alles lange erprobte ungebrochene Verschlüsselungen. Der eine nim AES-128 der andere meint mehr hilft mehr und nimmt AES-256. Der nächste schwört auf twofish, weil djb den entworfen hat der übernächste nimmt serpent, weil er vom AES Konsorzium vor der Wahl für Rijandel/AES als besonders sicher eingestuft wurde oder camellia, weil der von den Koreanern "erfunden" und standartisiert wurde. (Und nicht wie AES vom Belgiern erfunden und von Amerikanern standartisiert) So lange da keiner was bricht sind halt alle sicher mehr oder weniger geht da IMHO nicht...
AES ist halt super schnell und stromsparend, weil überall in Hardware. Du kannst ja mal mit cryptsetup benchmark rumspielen wie schnell deine Hardware so für den ist.
Ich benutze sogar gerne den aes-ctr-plain64 der ist in vielen Fällen nochmal deutlich schneller, weil wie xts sowohl beim ver- wie auch beim entschlüsseln parallelisierbar. cbc nur beim entschlüsseln. – Ob deine Hardware das dann macht ist ne andere Frage. Hat aber für gewisse Einsatzzwecke insbesondere auf SSDs ein paar Probleme, weshalb ich den ungern an unbedarfte weiterempfehle.
Du kannst selbst mal teste mit:

Code: Alles auswählen

cryptsetup benchmark -c aes-ctr -s 128
cryptsetup benchmark -c cast6-cbc -s 256
..
und gucken was wie schnell im Vergleich zu deiner Platte ist.

Code: Alles auswählen

echo 1 > /proc/sys/vm/drop_caches
time head -c 1G /dev/sda | pv > /dev/null
Und dann merkst du dass speed Optimierung auch selten sinnvoll ist. Schneller als die Platte kann deine Crypto eh nicht. Am Ende ist so lange du kein single DES nimmst ein bisschen wane. Und gegen den weigert sich cryptsetup auch mittlerweile.
rot: Moderator wanne spricht, default: User wanne spricht.

LinuxNewcomer
Beiträge: 56
Registriert: 22.03.2021 19:42:19

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von LinuxNewcomer » 30.03.2021 18:59:40

wanne hat geschrieben: ↑ zum Beitrag ↑
28.03.2021 18:38:13

Code: Alles auswählen

sudo cryptsetup -c aes-cbc-essiv:sha256 -s 128

Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?

mcb

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von mcb » 30.03.2021 20:10:31

Was spricht gegen die Voreistellungen ?

Du kannst dich an folgendem Beispielbefehl orientieren:

Code: Alles auswählen

root@debian:~# cryptsetup luksFormat --type luks1 /dev/sda1
lukes1 weglassen / /dev/sdX1 X anpassen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: Bei Installation verschlüsseln (Auch Swap und Boot)

Beitrag von wanne » 31.03.2021 11:08:50

LinuxNewcomer hat geschrieben: ↑ zum Beitrag ↑
30.03.2021 18:59:40
Zuvor muss ich aber partitionieren und formatieren ? Dann den Befehl eingeben ?
1. Partitionieren
2. verschlüsseln: luksFormat /dev/sdxY)
3. entschlüsseln: luksOpen /dev/sdxY NAME (damit du sie zum formatieren und nutzen kannst.)
4. formatieren: mkfs.abc /dev/mapper/NAME
5. mount /dev/mapper/NAME /pfad/ordner

(Die entschlüsselte Variante liegt immer unter /dev/mapper die Verschlüsslte auf der Partition die Partition auf der Platte) lsblk veranschautlicht das schön
Beispiel:

Code: Alles auswählen

NAME           FSTYPE      LABEL             MOUNTPOINT
sda                                                                                              
├─sda1         crypto_LUKS
│ └─newhome3   btrfs       newohome          /media/data
├─sda2
/dev/sda: Platte, /dev/sda1 und /dev/sda2 sind Partitionen /dev/mappter/newhome3 ist die entschlüsselte Variante von /dev/sda1, die btrfs formatiert ist. Die daten, die auf dem btrfs liegen findet man unter /media/data
Wie gesagt es wurden ein paar ausführlichere Anleitungen geopstet. Das nur zum Verständnis.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten