Desktop Verschlüsselung

[jhr-online]

Ich nutze für das Backup ftplicity [1]. Das ist ein Wrapper für duplicity (ein sehr angenehmes, kleines Backup-Tool für die CommandLine), der für die Verschlüsselung per gpg sorgt. So werden die Daten erst lokal verschlüsselt, dann zum Backup-System per ftp übertragen.

jhr

[1] http://www.heise.de/ct/06/13/links/216.shtml

[123456]

Wie sieht das mit der Intergrität, sprich Der Sicheheit, das die daten auch widerhergestellt werden können aus. Es gibt ja auch leute, die lehen schon komprimierte backups ab, weil die Datenintergrität ev. nicht gewährleistet ist, oder vergleiche ich jetztda Äpfel mit Birnen?

Irgendwie schon. Bei Backups kannst Du ja die Integrität checken lassen - ok, das dauert doppelt so lange. Bei Verschlüsselung habe ich noch keine Probleme erlebt... und wenn die Platte mal dahindämmert und dadurch die Integrität dahingeht - hast Du ein Backup. Man müsste jetzt auch mal schauen wie die einzlenen Verschlüsselungstechnologien auf Partitionen bzw. Containern funktionieren, um überhaupt beantworten zu können ob es überhaupt ein Problem geben kann...

[meandtheshell]

Man müsste jetzt auch mal schauen wie die einzlenen Verschlüsselungstechnologien auf Partitionen bzw. Containern funktionieren, um überhaupt beantworten zu können ob es überhaupt ein Problem geben kann...

Cipher oder plaintext beides mal kann ein Hardwaredefekt die Datenintegrität (http://en.wikipedia.org/wiki/Data_integrity wir reden von den ersten drei Punkten ja?) zu nichte machen. Das verschlüsselte blockdevice bzw. ein solches kann man ruhig als backup device verweden - einfach ist:

- in einem Raid Verbund einen Spiegel in regelmäßigen Intervallen einzuhängen zu syncen und wieder auszuhängen
- auf eine andere HDD zu sichern (diese ist auch ein Verschlüsseltes block device)
- gleich ein Hardware RAID 5 oder so dann kann man sich ein Backup sparen - gute Controller erlauben automatisiere Snapshots so kann man die Zeitmaschine anwerfen wenn notwendig

Die block devices steckt man dann auf der einen Seite in dm-crypt und zieht auf der andern das virtual block device (verschlüsselte device) heraus. Also z.B RAID an Hardware Controller --> dm-crypt ---> /dev/mapper/nastygirlfriend

Das ist natürlich für @home oder Soho Bereiche. Große Dinge gehen in Bandbibliotheken etc.

Das man ein Backup nicht komprimieren oder nicht verschlüsseln soll ist Aberglaube ...

Markus

[Gottvonallem]

Noch ein Nachtrag. Mein swap und /tmp ist natürlich auch verschlüsselt.

mfg Benjamin

[Lin4U]

Hallo, ich bins wieder (kleiner Scherz)

nach meiner Rückkehr vom seltsam anmutenden Xubuntu bin ich wieder auf Etch. Sicher ist sicher.
Nur diesmal, und jetzt provoziere ich wieder ein bißchen, habe ich typisch Debian-Style meine gesamte Linux-Platte, all inclusive, mit LUKS verschlüsselt - bei der Installation mit einem (!) Häkchen via Tastatur. Wenn das mal nicht kurz und bündig war.
Bin ich ein Freveler? ;-D

Textmode ist immernoch am besten: Ciaoi

Thom

[Noar]

Habe bisher nur meine /home-Partition verschlüsselt, außerdem den USB-Stick und die externe Festplatte. Alles mit Truecrypt. Allerdings werde ich, wenn ich mein System mal wieder neu aufsetze (irgend eine lange, kalte und dunkle Winternacht wird sich schon finden...) wohl komplett auf LUKS setzen.

Ach ja, Mails werden, soweit möglich, natürlich auch mit gpg verschlüsselt (einige Freunde/Bekannte) konnte ich diesbezüglich schon sensibilisieren).
ICQ wird nur in wenigen Fällen genutzt, meist nutze ich Jabber.

Handys sind teufelszeug

Und nein, ich bin nicht paranoid *Aluminiumhütchen versteck*

[McStarfighter]

Ich habe da mal ne generelle Frage: Welches dieser Methoden bietet mir eine WholeDisk-Verschlüsselung? Mir geht es nämlich darum, die komplette interne Platte zu verschlüsseln und eine Preboot-Autorisierung zu bekommen. Geht das, gibt es das? Unter dem "anderen" OS gibt es ja solche Möglichkeiten wie DriveCrypt Plus Pack PGP Desktop oder SafeGuard Easy und genau sowas suche ich eben für Debian, am besten mit einem preboot-geschützten GRUB.

Danke im Voraus für Antwort.


P.S.: Ich bin recht neu in Linux und bitte daher um Nachsicht.

[McStarfighter]

Für ne Antwort wäre ich ja immer noch recht dankbar ...

Mal ne Verständnisfrage: Hier "geistert" ja die Verschlüsselungsmethode rum, bei der /boot unverschlüsselt ist. Wie wird denn dabei der eigentliche Schutz gewährleistet in Bezug auf die initrd und die vmlinuz? Die sind doch letzten Endes anfällig für den Austausch durch "spionierende" "Kollegen".
Ich bin recht "verwöhnt" durch Lösungen beim "anderen" OS, bei dem eine Verschlüsselung schon beim MBR anfängt, der erstmal ein Paßwort haben will. Dabei gibt es keine unverschlüsselten Teile. Nun, da ich in den kommenden Tagen meine neues Highend-Notebook von Alienware zugeschickt bekomme und dieses mit Debian seinen Dienst zu versehen hat, ich aber meinerseits recht sensibel in Bezug auf meine IT-bezogene Sicherheit und Privatsphäre eingestellt bin, will ich auch auf Debian ne Vollverschlüsselung haben (nach Möglichkeit). Und alles was ich bisher dazu zu lesen bekam, waren Lösungen mit unverschlüsseltem /boot. Da regt sich doch mein Mißtrauen wegen konzeptioneller Schwachstellen, eben wegen des unverschlüsselten Teils.
Ich bin doch sehr dankbar, wenn mich jemand in der Hinsicht mal aufklären kann. Aber bitte beachten, daß ich noch ein Neuling im Linux-Sektor bin (das dann laufende Debian wird mein erstes Linux sein, daß ich auch wirklich einsetze, alles andere waren Tests in VMs und so...)

[Danielx]

Hallo!

Hier "geistert" ja die Verschlüsselungsmethode rum, bei der /boot unverschlüsselt ist. Wie wird denn dabei der eigentliche Schutz gewährleistet in Bezug auf die initrd und die vmlinuz? Die sind doch letzten Endes anfällig für den Austausch durch "spionierende" "Kollegen".

Gegen eine Manipulation der Boot-Partition bietet diese Methode erstmal keinen Schutz!
Es gibt zwei Möglichkeiten die Sicherheit diesbezüglich zu erhöhen:
1) Prüfsummen der Dateien in der Boot-Partition auf der verschlüsselten Partition speichern und beim/nach dem Booten diese Dateien checken, ist aber auch nicht wirklich sicher.
2) TrustedGRUB verwenden, benötigt aber einen TPM-Chip im Rechner. Ziemlich sicher. Aber es gibt auch Hardware-Keylogger...

ch bin recht "verwöhnt" durch Lösungen beim "anderen" OS, bei dem eine Verschlüsselung schon beim MBR anfängt, der erstmal ein Paßwort haben will. Dabei gibt es keine unverschlüsselten Teile.

Denkfehler!
Das ist im Prinzip genauso (un)sicher wie eine unverschlüsselte Boot-Partition, denn irgendwo muss sich unverschlüsselter Code befinden, der manipulierbar ist, denn wer bitteschön fragt dich nach dem Passwort?
Das Programm, welches dich nach dem Passwort fragt muss zwangsläufig unverschlüsselt sein, denn wenn es verschlüsselt wäre, dann könnte es dich nicht nach dem Passwort fragen! Logisch, oder?
Außerdem, selbst wenn es möglich wäre (was es ja nicht ist), dass das Passwort-Programm selbst verschlüsselt ist, wer garantiert dir, dass es sich wirklich um das Passwort-Programm handelt, welches da nach deinem Passwort fragt und nicht irgendein anderes Programm, welches nur dein Passwort ausspioniert, aber auf dem Bildschirm genauso aussieht wie das echte Passwort-Programm?

Ich hoffe ich habe das einigermaßen verständlich erklärt.

Gruß,
Daniel

[McStarfighter]

Tja, dann will ich deine Unwissenheit mal mit meinen Erfahrungen ausfüllen. Als Whole-Disk-Programm verwende ich SafeGuard Easy von Utimaco. Es ist sogar vom BSI zertifiziert und wird von der Bundeswehr für ihre ganzen Notebooks verwendet (ein guter Freund von mir arbeitet beim Luftwaffenamt in verantwortungsvoller Position der IT-Abteilung und kennt sich daher extrem gut mit aus). Das Programm verschlüsselt die Systempartition auf Partitionsebene und setzt einen eigenen MBR. Der MBR fragt dann auch vor dem Booten nach dem Paßwort. Die gesamte Partition ist ausnahmslos verschlüsselt, das kannst du mir glauben. Nach der erfolgreichen Eingabe bootet das System dann als wäre nichts gewesen. Den MBR durch eine eigene Version auszutauschen bringt auch nix, da SafeGuard dann den Dienst verweigert und auch mit dem richtigen Paßwort nicht bootet (wahrscheinlich ein Selbstschutz durch CRC oder ähnliches, weiß es nicht genau). Was im RAM ist, weiß ich nicht, aber die Bundeswehr hat eine große Reihe an Kompromittierungstests an dem Programm durchgeführt und keinen Weg gefunden, da "rein" zu kommen. Von außen sieht die Partition aus, als wäre sie erst garnicht partitioniert, also wie bei TrueCrypt-Partitionen.
Und die Methode unter Debian ist dann doch leider recht anfällig für Manipulationen. Vom Prinzip her müßte doch eine gleichartige Lösung wie unter diesem dämlichen Windows möglich sein (GRUB ist offen und könnte das bestimmt auch nach entsprechendem Patch). Versteht mich nicht falsch, ich mag Windows nicht grad allzu sehr (Vista war der Grund für mich, nun endlich zu Debian zu wechseln), aber die SafeGuard-Lösung ist wesentlich sicherer. Aber bei Windows bleiben will ich auch nicht mehr.
TrustedGRUB habe ich vor ein paar Monaten auch entdeckt, aber leider wird mein neues Notebook keinen TPM-Chip enthalten (sonst wäre ich da auch wesentlich beruhigter).
Naja, mir wird wohl letzen Endes nichts anderes übrig bleiben als ne Zwitter-Lösung, um zu einem befriedigenden Ergebnis zu kommen, leider ...

[Danielx]

Ich weiß wie "SafeGuard Easy" das macht!

Der MBR fragt dann auch vor dem Booten nach dem Paßwort.

Das Programm in diesem MBR sowie der "spezielle" MBR selbst sind unverschlüsselt und können sehr wohl manipuliert oder komplett ausgetauscht werden!
Da hilft auch keine Zertifizierung...

Ob das Programm bzw. der MBR manipuliert wurde, wird auch hier nur per Prüfsumme nach Eingabe des Passworts überprüft (Prüfsummen liegen auf dem verschlüsselten Bereich).

Diese Methode unterscheidet sich also nicht wesentlich von der Prüfsummenmethode unter Linux die ich schon genannt habe.

Achja, "SafeGuard Easy" unterstützt auch TPM-Chips, warum wohl?

Sowohl die genannte Software als auch die besprochenen Verfahren unter Linux bieten aber zumindest eines:
Wenn der Rechner/Laptop gestohlen wird, sind die Daten sicher verschlüsselt.

Gruß,
Daniel

[Incom]

Btw: Wenn man angst davor hat dass der unverschlüsselte Teil des Systems manipuliert wird sollte man /boot + mbr einfach auf ne cd auslagern.

Gruß,
Incom