wie verschlüsseln?

bonbon2k6 · Beitrag von **bonbon2k6** » 13.12.2007 21:12:03

huhu,

wollte euch mal fragen, wie ihr eure Platten verschlüsselt / verschlüsseln würdet. habe die swap und tmp - Bereiche jetz mit AES256 durch loop-aes verschlüsselt.

bleibt noch das home-verzeichnis...was haltet ihr von Truecrypt und einem AES-Serpent-Twofish o.ä. ? Dieser kann dann beim booten das pw erfragen. Oder haltet ihr loop-aes, dm_crypt oder dm_crypt mit luks für besser?

mfg

crazyed · Beitrag von **crazyed** » 13.12.2007 21:37:30

Da im Debianforum-Wiki noch nicht wirklich viel drinsteht verweise ich jetzt mal auf Fremdlektüre von Gentoo [1] + [2]. Parallelen gibt es aber zuhauf, ich verwende beide OS.

[1] https://forums.gentoo.org/viewtopic-t-242488.html Auf Seite 10 wird es noch mal interessant
[2] http://de.gentoo-wiki.com/DM-Crypt

bonbon2k6 · Beitrag von **bonbon2k6** » 14.12.2007 14:16:51

ja ähnliches gibt es aber auch unter der debian-wiki. Aber das war nicht die Frage...weil mich interessiert, welches Verfahren am besten / günstigsten ist. Nochmal folgende zur Auswahl =)

Truecrypt und einem AES-Serpent-Twofish
loop-aes
dm_crypt
dm_crypt mit luks

mfg

Incom · Beitrag von **Incom** » 18.12.2007 22:20:15

Truecrypt würde ich nicht nehmen, da es hauptsächlich eine Windows Anwendung ist die zwar auch unter Linux läuft, aber das Hauptaugenmerk der Entwickler liegt auf der Windows version, denke ich.
Wenn schon dm-crypt, dann mit luks Aufsatz, das macht das ganze einfacherer und sicherer.
Also hast du meiner Meinung nach die Wahl zwischen dm-crypt mit luks, und loop-aes. Ich find dm-crypt besser, ist aber eine äußerst subjektive Meinung.
Btw: Natürlich können auch Loop-Aes und dm-crypt beim booten nach dem Passwort fragen.

Gruß,
Incom

123456 · Beitrag von **123456** » 19.12.2007 08:12:35

bonbon2k6 hat geschrieben:dm_crypt mit luks

Der Grund für diese Wahl ist, das es am besten durch Linux unterstützt wird. Bei einem guten Passwort sollten alle drei bei deinen Sicherheitsbedarfen ausreichend sein. Truecrypt hat sicher die besten Features, wird aber unter Linux nicht gut unterstützt und loop-aes hat mir beim upgrade / dist-upgrade auch öfter mal Bastelstunden bereitet.

HELLinG3R · Beitrag von **HELLinG3R** » 19.12.2007 08:16:55

Also ich hatte mit truecrypt unter linux noch keine Probleme - in wie fern wird es nicht gut unterstützt?

123456 · Beitrag von **123456** » 19.12.2007 08:43:45

HELLinG3R hat geschrieben:Also ich hatte mit truecrypt unter linux noch keine Probleme - in wie fern wird es nicht gut unterstützt?

bei der Version 4.3a konnte ich bsp. kein .deb installieren, sondern musste nach Fehlerbehebung selber kompilieren. Das ist zwar kein Riesending fällt aber für mich in den Bereich Usability und vor allem bei einem dist-upgrade oder einem Versionswechsel der Software sollte schon alles glatt gehen, sonst kann man im Zweifel die "wichtige" Partition gar nicht mehr mounten...

bonbon2k6 · Beitrag von **bonbon2k6** » 19.12.2007 16:37:41

huhu,

Truecrypt würde ich nicht nehmen

leider läuft TrueCrypt bei mir auch nich so richtig

Bekomme halt immer Speicherzugriffsfehler...wieso auch immer =)

Ich find dm-crypt besser, ist aber eine äußerst subjektive Meinung.

Wieso? Ich habe mal testweise loop-aes eingerichtet und es ist echt leicht zu handhaben...Wenn es allerdings trifftige Sicherheitslücken gibt nutze ich es natürlich nicht =) Daher rührt ja die Frage ein wenig.

wie sicher ist denn dm_setup mit luks-aufsatz ? Weil dm_setup alleine soll...naja... ^^ .. sein =) Lässt es container zu?

Am liebsten würde ich ja truecrypt nutzen, da ich dies unter windows hatte...allerdings komm ich langsam dahinter (^^), dass Truecrypt unter Linux Debian echt sinnlos ist...Unter Ubuntu könntes klappen

mfg

Incom · Beitrag von **Incom** » 07.01.2008 15:49:30

bonbon2k6 hat geschrieben: wie sicher ist denn dm_setup mit luks-aufsatz ? Weil dm_setup alleine soll...naja... ^^ .. sein =) Lässt es container zu?

In Sachen Sicherheit macht es keinen großen unterschied ob du loop-aes oder dm-crypt mit luks verwendest. dm-crypt alleine ist zwar nicht das sicherste, aber auch nicht wirklich unsicher.

JFoX · Beitrag von **JFoX** » 11.01.2008 12:07:13

Hallo, ich würde das Thema gerne noch einmal aufgreifen, ich habe schon eine Menge darüber gelesen, aber eine Sache spukt mir im Hirn herum und zwar, sowie ich das verstehen nutzt keiner das LVM-Encryption File-System was easy mit dem Debian-Installer auf zu setzten ist... warum eigentlich, oder Irre ich mich da jetzt.

Ich überlege auch die ganze Zeit wie ich meine Platten verschlüssele, bin mir da immer noch etwas unschlüssig... Ich würde gerne folgene Features haben.

- Boot mit USB-Stick als Schlüssel (habe heute 3 gekauft 1GB als Backup im Save *g)
- Verschlüsselung sollte mich nicht beim arbeiten behindern habe gelesen das dm-crypt und LUKS **** langsam sein soll, stimmt das?
- Kann mir jemand ein Howto sagen, was relativ aktuell ist, und wo die geschichte mit dem USB-Stick beschrieben ist?

Incom · Beitrag von **Incom** » 11.01.2008 19:55:39

JFoX hat geschrieben:Hallo, ich würde das Thema gerne noch einmal aufgreifen, ich habe schon eine Menge darüber gelesen, aber eine Sache spukt mir im Hirn herum und zwar, sowie ich das verstehen nutzt keiner das LVM-Encryption File-System was easy mit dem Debian-Installer auf zu setzten ist... warum eigentlich, oder Irre ich mich da jetzt.

Ich vermute das liegt daran dass man bei der Installation meist denkt "hmm, das mach ich irgendwann wenn ich mich mit dem System auskenne", und da man Debian im allgemeinen nicht neu installieren muss das dann an einem funktionierendem System nachrüstet.

JFoX hat geschrieben: Ich überlege auch die ganze Zeit wie ich meine Platten verschlüssele, bin mir da immer noch etwas unschlüssig... Ich würde gerne folgene Features haben.

- Boot mit USB-Stick als Schlüssel (habe heute 3 gekauft 1GB als Backup im Save *g)

kein Problem, kann glaub ich fast jede Lösung (solange man keine root-verschlüsselung benutzt oder falls doch das usb-modul im kernel hat)

JFoX hat geschrieben: - Verschlüsselung sollte mich nicht beim arbeiten behindern habe gelesen das dm-crypt und LUKS **** langsam sein soll, stimmt das?

Hab ich nichts von gemerkt.

JFoX hat geschrieben: - Kann mir jemand ein Howto sagen, was relativ aktuell ist, und wo die geschichte mit dem USB-Stick beschrieben ist?

Im Wiki ist ein HowTo für ein "normales" system. Wenn du das eingerichtet hast brauchst du nur in der /etc/default/cryptdisks deinen Usbstick bei mount eintragen damit der gemountet wird, und das Keyfile auf dem Stick gibst du in der /etc/crypttab an.

Gruß,
Incom

JFoX · Beitrag von **JFoX** » 12.01.2008 12:14:11

Hallo, vielen Danke für die Antwort. Ich habe das ganze jetzt nach dem Wiki HowTo, das mit dem USB-Stick bekomme ich auch hin, stell ich mir jetzt nicht dramatisch vor habe da auch noch andere HowTo im Grunde das gleich darlegen, was du gesagt hast. So da ich ja das ganze auch unter dem laufendem Betrieb machen will, was ich auch schon bei meiner damaligen Neuinstallation geplant habe, Verschlüssele ich erstmal meine "Backup-Partition" dann mache ich ein Snapshot von /home kopiere in da drauf. Unter einem Live-System, mache ich dann Home soweit fertig, und schmeiße die Daten zurück. Das dürfte doch keine Probleme geben oder?

Ich habe keine eigene Partition für /tmp werde mich da an das wiki halten und es auf "/home" umleiten.

swap ist nicht der rede wert.

soweit so gut. Ich habe keine eigene /boot Partition, habe lediglich / /home, swap

Mann kann ja mit etwas gefummel root verschlüsseln. nur die Frage ist das sinnvoll? Ich meine das eigentlich System ist ja kein Geheimnis, das kann ja "jeder" haben wichtig ist doch das die Daten sicher verpackt sind oder irre ich mich da?

so long

JFoX

Incom · Beitrag von **Incom** » 12.01.2008 19:21:02

JFoX hat geschrieben: Mann kann ja mit etwas gefummel root verschlüsseln. nur die Frage ist das sinnvoll? Ich meine das eigentlich System ist ja kein Geheimnis, das kann ja "jeder" haben wichtig ist doch das die Daten sicher verpackt sind oder irre ich mich da?

Das kommt darauf an ob du Angst davor hast dass jemand wenn du grad nicht da bist dein System manipuliert. Wenns aber nur darum geht dass zb die Daten auffem Laptop nach nem Diebstahl nicht ausgelesen werden können reicht das.

Gruß,
Incom