Hi,
ich möchte meinen Laptop komplett verschlüsseln, so das wenn dieser mal gestohlen wird - keiner Zugriff auf meine Daten hat. Deswegen würde ich gerne Full System Encryption einrichten. Wie mache ich das?
Am besten stelle ich mir das so vor das dieser schon beim booten nach einem usb stick fragt und nach einer verschlüsselten Chipkarte - erst dann würde er weiter booten.
Ist das machbar? Wenn ja wie?
Full System Encryption? Wie?
Re: Full System Encryption? Wie?
Wozu das ganze System verschlüsseln? Genügt nicht die home-Partition?viper2k hat geschrieben:Hi,
ich möchte meinen Laptop komplett verschlüsseln, so das wenn dieser mal gestohlen wird - keiner Zugriff auf meine Daten hat. Deswegen würde ich gerne Full System Encryption einrichten. Wie mache ich das?
Genügt nicht ein Passwort? Wenn dein USB-Stick mitgestohlen wird, hast du sonst ein Problem..viper2k hat geschrieben:Hi,
Am besten stelle ich mir das so vor das dieser schon beim booten nach einem usb stick fragt und nach einer verschlüsselten Chipkarte - erst dann würde er weiter booten.
Infos z.B. unter http://wiki.debianforum.de/Sicherheit.Ist das machbar? Wenn ja wie?
smo
Re: Full System Encryption? Wie?
Weil z.B. in /tmp oder im SWAP auch interessante Dinge liegen koennen, wuerde ich auch gleich das ganze System verschluesseln. Wenn's nicht gerade ein "Vorkriegs" Notebook ist und/oder du nicht staendige Kernels uebersetzt (oder aehnliches) wird sich der Geschwindigkeitsverlust in Grenzen halten. Zahlen wieviel langsamer es wird habe ich allerdings nicht, nur mein subjektives Gefühl von ca. 2 Std. Arbeiten an einen vollstaendige gecrypteten Notebook.smo hat geschrieben:Wozu das ganze System verschlüsseln? Genügt nicht die home-Partition?
Roland
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
"Aber wenn du schon so unwissend bist, davon noch nicht gehört zu haben,
so will ich es doch als gut ansehen, daß du lieber einmal töricht fragst,
als weiterhin nichts von etwas zu wissen, das man doch wissen sollte."
aus "Die Edda des Snorri Sturluson", "Gylfis Täuschung"
-
Gottvonallem
- Beiträge: 286
- Registriert: 20.10.2006 20:46:21
Der Debian-Installer kann komplette Systeme (bis auf die Bootpartition) verschlüsseln. Wenn du das ganze noch weiter absichern willst, kannst du entweder
a) die Bootpartition auf einen USB Sick legen und von USB Stick booten (das muss das BIOS natürlich unterstützen.)
b) alles auf die Platte installieren, danach auf einem USB Stick eine verschlüsselte Partition anlegen, diesen beim Booten mounten lassen (http://www.student.tue.nl/Q/j.f.berndsen/debian/ für eine Anleitung mit unverschlüsselten USB Stick) und dann die Rootpartition mit einem auf dem USB Stick gespeicherten Keyfile entschlüsseln. Im Wiki unter Security sind einige Anleitungen wie man cryptsetup mit Keyfiles benutzt (siehe http://wiki.debianforum.de/CryptoFS_mit ... 8Crypto%29 ). Mit den Änderungen im ersten Link auf die Benutzung mit einem verschlüsselten USB Stick dürfte das gehen.
Wenn du noch fragen hast, dann frag.
mfg Benjamin
a) die Bootpartition auf einen USB Sick legen und von USB Stick booten (das muss das BIOS natürlich unterstützen.)
b) alles auf die Platte installieren, danach auf einem USB Stick eine verschlüsselte Partition anlegen, diesen beim Booten mounten lassen (http://www.student.tue.nl/Q/j.f.berndsen/debian/ für eine Anleitung mit unverschlüsselten USB Stick) und dann die Rootpartition mit einem auf dem USB Stick gespeicherten Keyfile entschlüsseln. Im Wiki unter Security sind einige Anleitungen wie man cryptsetup mit Keyfiles benutzt (siehe http://wiki.debianforum.de/CryptoFS_mit ... 8Crypto%29 ). Mit den Änderungen im ersten Link auf die Benutzung mit einem verschlüsselten USB Stick dürfte das gehen.
Wenn du noch fragen hast, dann frag.
mfg Benjamin
Re: Full System Encryption? Wie?
Für SWAP stimme ich zu (mache ich selbst auch so). tmp wird glaub ich bei jedem Boot geleert (Vorsicht, gefährliches Halbwissen). Für / macht's meiner Ansicht nach keinen Sinn (Aufwand <-> Nutzen). Aber das ist natürlich der persönlichen Paranoia überlassen.roli hat geschrieben:Weil z.B. in /tmp oder im SWAP auch interessante Dinge liegen koennen, wuerde ich auch gleich das ganze System verschluesseln.smo hat geschrieben:Wozu das ganze System verschlüsseln? Genügt nicht die home-Partition?
smo
Das wollte ich mit meinem Paranoia-Satz ausdrücken.ZOiD hat geschrieben:.... sorry, aber das ist doch keine Meinungsumfrage.smo hat geschrieben: [...]
Aber das ist natürlich der persönlichen Paranoia überlassen.
Kann doch jeder machen wie er will...
Allerdings sehe ich das Forum auch als Erfahrungs- und Meinungsaustausch. Z.B. könnte mir beim Lesen dieses Threads klar werden, dass es auch für mich sinnvoll ist, '/' zu verschlüsseln.
Wir müssen doch nicht mit Antworten/Meinungen sparsam umgehen oder wird der Speicherplatz knapp?
smo