(gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
guennid

(gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 10:53:33

Sehe ich recht, dass man die ohne Eingriff in den Quellcode nicht ändern kann? Unterdrücken?
Zuletzt geändert von guennid am 28.02.2018 10:09:03, insgesamt 1-mal geändert.

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 11:40:01

Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 11:43:19

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 10:53:33
Sehe ich recht, dass man die ohne Eingriff in den Quellcode nicht ändern kann? Unterdrücken?
Es gibt mehrere Methoden, dem Programm Debiancryptsetup Schlüsselmaterial zu übergeben. Passworteingabe an der Tastatur ist nur eine davon. Was genau willst du den erreichen?

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 12:02:45

Tja, der Teufel liegt im Dateil. :wink: Ich will den Text der Eingabeaufforderung nicht sehen.
crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von schwedenmann » 14.12.2017 12:21:51

Hallo

Ich will den Text der Eingabeaufforderung nicht sehen.
Komisch bei mir, wenn ich mein verschlüseltes device öffne, tippe ich blind, da erscheint nichts auf dem Monitor.

mfg
schwedenmann

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 12:39:17

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 12:02:45
Tja, der Teufel liegt im Dateil. :wink: Ich will den Text der Eingabeaufforderung nicht sehen.
crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.
Ok, es geht dir also sinngemäß um den Text "Please enter password to unlock devive blablub" ? Da soll dann einfach nichts stehen?

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 12:42:00

@schwedenmann
Hier schon:

Code: Alles auswählen

Geben Sie die Passphrase für »[Pfad/zum/container]« ein:
@spiralnebelverdreher
Genau so! oder: Ich kreiere mir selbst einen.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 12:48:13

Ganz abgesehen davon, dass ich das eher unpraktisch fände - wir sind ja im Open Source Bereich und da soll ja jeder nach seiner eigenen Facon glücklich warden - sehe ich mindestens zwei Ansätze:

1) Quellcode ändern und Paket neu bauen
2) Umleitung der Standardausgabe im Startscriptt auf /dev/null oder sonst was, was nicht im Bildschirm erscheint.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 13:30:15

Das Kommando ist:

Code: Alles auswählen

cryptsetup luksOpen /pfad/zum/container [/dev-mapper-datei]
ad 1: Will und kann ich nicht (deswegen ja: "Sehe ich recht, dass ...")

ad 2: Bis jetzt gescheitert

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 13:44:52

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 13:30:15
Das Kommando ist:

Code: Alles auswählen

cryptsetup luksOpen /pfad/zum/container [/dev-mapper-datei]
ad 1: Will und kann ich nicht (deswegen ja: "Sehe ich recht, dass ...")

ad 2: Bis jetzt gescheitert
Ich nehme an, dass es dir um die Abfrage beim Booten geht, um ein auf einem mit dm-crypt/LUKS verschlüsselten LVM installiertes System zu starten. Da bringt (ad 2) ein Wrapper-Skript nichts, weil beim Booten cryptsetup/cryptdisks_start in der initrd und nicht in /sbin gestartet wird. Letzteres wird an der Stelle im Bootvorgang ja noch verschlüsselt sein.

Du scheinst Security by Obscurity bauen zu wollen. Dir ist bekannt, dass das ein Irrweg ist?

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 13:54:45

jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 13:56:18

Ich nehme an, dass es dir um die Abfrage beim Booten geht, um ein auf einem mit dm-crypt/LUKS verschlüsselten LVM installiertes System zu starten.
Ach was, sowas Exquisites kann ich gar nicht.
Das ganze ist ja nicht so wichtig, aber ich find's halt doof, dass der eigentliche container schon beim Aufrufversuch von cryptsetup Hinz und Kunz genannt wird. Und außerdem würde ich gern ein kleines, feines Fensterchen konstruieren, in dem das Passwort abgefragt wird. :wink:
Du scheinst Security by Obscurity bauen zu wollen.
Um dazu was sagen zu können, müsst' ich wissen, was man/du darunter verstehst. :wink:

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 14:10:28

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 12:02:45
Ich will den Text der Eingabeaufforderung nicht sehen. crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.
Doch, natürlich geht das... nur würde ich das nicht machen, weil Du damit einen Teil der Sicherheit zu einem Zufallsprodukt machst. Du kannst selbstverständlich das Password selber abfragen, mit einem eigenen wohlklingenden Text, und dann die Eingabe direkt via stdin an Cryptsetup übergeben. Allerdings besteht dann die Möglichkeit, dass das Password entweder in Reinschrift in der Prozessliste steht oder in Reinschrift in der User-History.

Wenn Du das trotzdem unbedingt so machen willst, gibts ne Möglichkeit, mit der zumindest der Reinschrifttext des PWDs nicht lesbar ist und das das PWD spätestens beim shutdown endgültig weg ist.

Ich würde via base64 ein verkryptetes Password erzeugen... so in dem Muster:

Code: Alles auswählen

# echo "günni is der chefhacker" | base64
Z8O8bm5pIGlzIGRlciBjaGVmaGFja2VyCg==

# echo "günni is der chefhacker" | base64 >/tmp/containerkey

# cat /tmp/containerkey
Z8O8bm5pIGlzIGRlciBjaGVmaGFja2VyCg==
Dann gehst Du hin, und importierst diesen Schlüssel (nach dem Öffnen des Containers) in das "Schlüsselfach" Deines Containers.

Code: Alles auswählen

cryptsetup luksAddKey /dev/loop0 /tmp/containerkey
Und nun kannst Du in Deinem "Open-Container"-Script ein Password mit beliebigen Text abfragen, bei dem der User "günni is der chefhacker" eingeben muss und generierst on-the-fly das Keyfile in /tmp... exakt wie oben angegeben. Danach kannst Du den Container mit Angabe des fliegend erstellten Keyfiles öffnen.

Code: Alles auswählen

cryptsetup luksOpen /dev/loop0 container --key-file /tmp/containerkey
Solange der PC an ist und tmpfs->/tmp/containerkey besteht, kann man sich das sichern... das ist das Risiko, allerdings sollte es einem Laien fast unmöglich sein, das Password in Reinschrift zu reproduzieren. Nachtrag.... mir fällt gerade ein, man kann das Keyfile auch einfach direkt nach dem LuksOpen löschen... man braucht es ja wirklich nur für den Moment des Öffnens....

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 14:56:14

TomL hat geschrieben:
jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.
Erzähl mir bitte mehr.

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 15:29:26

jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:56:14
TomL hat geschrieben:
jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.
Erzähl mir bitte mehr.
Da is nix zu erzählen.... Öffnen, mounten, umounten und schließen einfach in eine kleine systemd-service-unit eintragen, dazu ne Condition aufs Keyfile (wenn USB-Stick), die Unit passend in den Start einfügen und den Rest macht systemd. In Kombination mit UDEV funktioniert das als Reaktion auf den Stick sogar auch Hot-Plug-mäßig. Das heisst, bei mir wird die Unit sogar immer über UDEV angezogen, unterwegs mit fliegendem USB-STick, zuhause mit "persistenter" SDC. Also wirklich total easy und zuverlässig.

BTW, systemd ist hier sowas von total offtopic... *fg*... und sollte auch nicht genannt oder als Vorschlag in Erwägung gezogen werden... :mrgreen:... und wenns doch genannt wird, immer ein Töpfchen mit Weihwasser daneben stellen. :twisted:

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 16:19:55

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 13:56:18
Das ganze ist ja nicht so wichtig, aber ich find's halt doof, dass der eigentliche container schon beim Aufrufversuch von cryptsetup Hinz und Kunz genannt wird. Und außerdem würde ich gern ein kleines, feines Fensterchen konstruieren, in dem das Passwort abgefragt wird. :wink:
Wenn nur Hinz und Kunz deine Gegner sind, dann kannst du mit der Offenlegung des Containernamens beruhigt schlafen. LUKS Container haben einen großen Header (um das Schlüsselmaterial über viele Sektoren zu verteilen) und sind leicht zu entdecken wenn die Festplatte einem Gegner in die Hände fällt. Die Qualität liegt im Konzept (http://tomb.dyne.org/Luks_on_disk_format.pdf) des Umgangs mit Passwörtern.

Dass es schickere Fensterchen für die Eingabe geben könnte, ist sicher richtig.

Viel Spaß beim Tüfteln!

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 16:59:50

Nicht schlecht, Thomas, nicht schhlecht! Ich glaube, das probier ich! MEIN container is' ne einfache Datei und da find' ich's schon blöd, dass man deren Pfadnamen sehen kann. Sowas wie keyfile auf Stick und automatisch mounten und systemd-unit (könnte man eigentlich mal zum Unwort des Jahres erklären :mrgreen: ) ist mir viel zu viel overhead. Also nochmal zur Beruhigung, es geht mir nur um eine wenig Optik, sonst nichts. :wink:

Dazu sollte ich jetzt noch wissen, wie man das Bildschirmecho einer Tastatureingabegabe unterdrückt, bzw. durch * oder sowas ersetzt. Ich finde nix (habe wohl keine geeigneten Suchbegriffe).

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 18:01:12

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 16:59:50
MEIN container is' ne einfache Datei und da find' ich's schon blöd, dass man deren Pfadnamen sehen kann.
Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst :lol: ? Verstehe ...

Aber du hast natürlich recht, wenn der Sinn der Verschlüsselung die Privatheit ist, dann sollte man diese nicht durch die Preisgabe von Metadaten (wie Pfadnamen) unterlaufen.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 18:12:11

Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst :lol: ? Verstehe ...
Erwischt! Scheiße! :evil:

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 18:43:44

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 18:12:11
Soso, es soll also niemand ahnen dass du in /home/guennid/Dokumente/Finanzen/Liechtensteinbank.container irgendwelche interessanten Dokumente aufbewahrst
Erwischt! Scheiße! :evil:
Güüüüünther.... 8O .... muss ich nun Angst haben, dass mir jetzt die Steuerfahndung aujf den Fersen ist, wegen meines Beitrags hier im Thread und dem damit erfüllten Tatbestand Beihilfe zur Steuerhinterziehung? Und sollte ich deshalb jetzt besser meinen caymanbank.container umbennen...?... in was unverfängliches...?... wie "geheimekonten.volume" oder so.... :roll:

Das "Erwischt!" beunruhigt mich ja nun doch....

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 19:25:36

Kann man das PW auch im Klartext in ein für cryptsetup lesbares keyfile schreiben?

Bevor jetzt das Geschrei wieder losgeht, bitte diese Bemerkung von Thomas bedenken:
mir fällt gerade ein, man kann das Keyfile auch einfach direkt nach dem LuksOpen löschen... man braucht es ja wirklich nur für den Moment des Öffnens...

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von pangu » 27.02.2018 19:54:16

Hi guenni,

schau dir mal Debianplymouth an. Das sieht dann richtig schick aus beim Booten und vllt. wirst du damit glücklich 8)
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 20:00:13

Es geht nicht ums Booten.

TomL

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 27.02.2018 20:00:56

guennid hat geschrieben: ↑ zum Beitrag ↑
27.02.2018 19:25:36
Kann man das PW auch im Klartext in ein für cryptsetup lesbares keyfile schreiben?
Ja sicher geht das... ich mache das nur.... USB-Stick mit Keyfile rein, an "fixe" Stelle mounten und von dort den Key laden.....

Code: Alles auswählen

/sbin/cryptsetup luksOpen "/dev/disk/by-uuid/8-37c7a1fd215" Crypt_HD --key-file "/var/run/.keys/CryptCredentials"
Und für meine Backupplatten, die ich rotierend antischnüffelsicher ausser Haus lagere, liegt das Keyfile ganz einfach in meinem Homedir.

guennid

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 27.02.2018 20:11:28

Funktioniert hier noch nicht.

Der Plan ist: PW per Debiandialog in eine Variable, diese in ein Keyfile (meinetwegen auch via base64). keyfile wie von dir o.a. bekanntmachen und später container via keyfile per script öffnen und mounten. Hinterher keyfile löschen.

Ich probier noch. Deine Vorgehensweise ist ein paar Nummern zu anspruchsvoll für mich. :wink:

Antworten