Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
partition verschlüsseln mit dmcrypt
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, ... 9, 10, 11  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 8:58 am    Post subject: Reply with quote

ah, hier hab ich noch was, dass deine frage nach der stärke ausführlich beantwortet:
http://www.metaner.de/1pw/brute-force.html

achja, evtl. gehst du davon aus, dass sich die rechenleistung jährlich verdoppelt, also hätten wir seit 2004 44mio keys / sec, also musst die zeit die gebraucht wird einfach / 4 teilen.

aber selbst bei 44mio keys / sec brauchts noch immer ziemlich lange ;)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Bender007
Tux's lil' helper
Tux's lil' helper


Joined: 11 Aug 2003
Posts: 110
Location: Göttingen

PostPosted: Mon Nov 01, 2004 9:35 am    Post subject: Reply with quote

Also vielen vielen dank für die antwort Toskala!

SAgt dir diese Fehlermeldung etwas ?
mounting crypted partition
gpg: WARNING: message was not integrity protected

macht mir etwas sorgen das das nicht richtig verschluesselt ist...
da ich die Festplatte mit Reiserfs formatiert habe in dem How to oben benutzt du ja ext3 mir war jetzt aber net 100% klar ob es bei reiserfs zu schwierigkeiten kommen kann?

Gut also ich habe die verschlüsselung genau wie oben in dem HOW-To beschreiben eingegeben das muesste es also AES-256 BIT sein (hast du was davon gehört das Twofisch schneller sein soll? nur so ne frage weil ich das in dem Forum öffters gelesen habe) gibt es eine möglichkeit das zu überprüfen ob er auch wirklich 256 Bit benutzt? Frage nur um 100%ig sicher zu gehen.

ok die geschichte das daten auf der platte sein sollen ist also irrelevant gut damit erspart mirdas schonmal ne menge arbeit. Einige Benutzer im Forum haben nämlich geschriebe das es eine bessere Sicherheit bietet Daten auf der platte zu haben das würde wohl die veschlüsselung nch verbessern...

Ok danach muesste alle geklärt sein .... puh
Ich frage nur so detailiert nach weil es ein server werden soll und auch sensible daten drauf sind.

axo wegen unmonten habe ich in die /etc/conf.d/local.stop umount /crypto reingeschreiben das sollte doch passen oder?

Und kann ich wenn ich jetzt z.B. in einem Jahr oder so noch eine weitere Festplatte einbaue den gleichen key zur verschluesselung nehmen? weil das was gelesen habe das 2 keys in einem system die perfomance abbremsen kann?
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 12:26 pm    Post subject: Reply with quote

Bender007 wrote:

SAgt dir diese Fehlermeldung etwas ?
mounting crypted partition
gpg: WARNING: message was not integrity protected


ja, das bedeutet einfach nur, dass du den schlüssel den du zum verschlüsseln benutzt hast, nicht signiert hast. ich empfehle dir unter www.gnupg.org dich mal ein wenig schlau zu lesen, da steht alles notwendige was du benötigst, um deinen public/private keyring zu signieren und anderweitig beglaubigen zu lassen.

Bender007 wrote:

macht mir etwas sorgen das das nicht richtig verschluesselt ist...


sorge unbegründet ;)

Bender007 wrote:

da ich die Festplatte mit Reiserfs formatiert habe in dem How to oben benutzt du ja ext3 mir war jetzt aber net 100% klar ob es bei reiserfs zu schwierigkeiten kommen kann?


nö, das ist ja nix anderes als eine festplatte, nur eben "virtuell". du musst dir das so vorstellen:

normalfall:
[festplatte] - [device mapper im kernel] - [filesystem]

in dem verschlüsselten falle:
[festplatte] - [crypto device mapper im kernel] - [filesystem]

also was für ein filesystem du letzten endes da benutzt ist vollkommen schnurz.

Bender007 wrote:

Gut also ich habe die verschlüsselung genau wie oben in dem HOW-To beschreiben eingegeben das muesste es also AES-256 BIT sein (hast du was davon gehört das Twofisch schneller sein soll? nur so ne frage weil ich das in dem Forum öffters gelesen habe) gibt es eine möglichkeit das zu überprüfen ob er auch wirklich 256 Bit benutzt? Frage nur um 100%ig sicher zu gehen.


gestatte mir die frage, was dich so paranoid stimmt ;)?
aber nein, ich weiss leider nicht ob twofish schneller ist, einfach ausprobieren würde ich sagen.

und naja, testen ob das wirklich 256bit sind, naja, ich vertrau da dem opensource prinzip und dem sourcecode :)
nein, ernsthaft, das wird mit sicherheit 256bit sein wenns drannesteht, probieren kannst du das afaik aber nur, wenn du es wirklich "brute forcen" willst.

Bender007 wrote:

ok die geschichte das daten auf der platte sein sollen ist also irrelevant gut damit erspart mirdas schonmal ne menge arbeit. Einige Benutzer im Forum haben nämlich geschriebe das es eine bessere Sicherheit bietet Daten auf der platte zu haben das würde wohl die veschlüsselung nch verbessern...


für aes ist es vollkommen egal wie "viel" daten du verschlüsselst. das scheint ein weit verbreiteter irrglaube zu sein, das liegt natürlich an den verschiedenen algorithmen, aber aes macht das schon gut.

Bender007 wrote:

axo wegen unmonten habe ich in die /etc/conf.d/local.stop umount /crypto reingeschreiben das sollte doch passen oder?


jo, das passt, du kannst es nur nicht mit /etc/conf.d/local.start mounten, das klappt nicht.

Bender007 wrote:

Und kann ich wenn ich jetzt z.B. in einem Jahr oder so noch eine weitere Festplatte einbaue den gleichen key zur verschluesselung nehmen? weil das was gelesen habe das 2 keys in einem system die perfomance abbremsen kann?


nein, das ist vollkommen egal. also du kannst selbstverständlich den gleichen key verwenden, aber die performance bremst da eher aus, dass du eine zweite platte hast, die ja auch wieder (bei gleichzeitigem beschreiben/lesen) cpu zeit fordert. also wegen dem key mach dir da keine gedanken, die performance wird eher gedrückt, durch das echtzeit lesen/schreiben und bei mehreren platten/partitionen, mit oder ohne verschiedenem key, ist da eher die gleichzeitige anzahl der lese/schreib aktionen der flaschenhals.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 1:53 pm    Post subject: Reply with quote

So, ich habe mir nun auch eine dm-crypt partition eingerichtet und mir gedanken über das mounten gemacht.
Dabei ist folgendes bei rausgekommen:

Ich hatte noch eine alte 8MB Compact-Flash Card, die bei meiner Kamera dabei war, die ich nicht brauche. Auf dieser habe ich das Keyfile angelegt.
Dann habe ich mir ein script geschrieben welches zuerst diese cf-card mountet, prüft ob das file da ist, dann die crypt-partition mounted und dann die cf-card wieder unmounted. Das ganze prüft auf diverse fehlerquellen und man kann es mit einer conf datei in /etc konfigurieren.

Was noch fehlt ist die möglichkeit mehrere partitionen anzusprechen. Aber das werde ich noch nachliefern.

Und nun zum spannenden teil, das Script. Entweder ihr erstellt euch eure dateien selber, oder ihr ladet sie runter:

www.ssm-server.de/crypto_mount.tar.gz


Edit: Neue Version da, siehe unten, download ist auf dem neuesten stand.
_________________
...it's only Rock'n'Roll, but I like it!


Last edited by Anarcho on Mon Nov 01, 2004 3:54 pm; edited 1 time in total
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 2:15 pm    Post subject: Reply with quote

ja und wo stopfst du das hin, dass es denn mounted? es mounted ja nicht "on-boot" oder?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 2:30 pm    Post subject: Reply with quote

Klar, ich habe einfach in die /etc/conf.d/local.start dann reingeschrieben:

crypto_mount

und fertig.

Wenn die compactflashcard dann beim booten drinne ist, wird gemountet, sonst nicht. Funktioniert also wie ein hardware-dongle.

Bei dem script hat man auch die wahl ob man gpg nutzen will oder nicht. Ich hab das keyfile nicht mit gpg verschlüsselt, da es ja physikalisch getrennt ist. Dann mountet er sogar vollautomatisch wenn die karte drin ist.
Ansonsten fragt er eben noch nach dem Mantra/passwort.

Geht natürlich auch mit ner floppy, muss man nur das device in der config ändern.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 2:39 pm    Post subject: Reply with quote

ja super, dann werd ich das heute abend gleich mal ausprobieren wenn ich wieder zuhaus am rechner bin :)
einziges problem was ich grade noch sehe, ich habe diverse usb mass-storage geräte, also mein usb stick, meine kamera, mein mp3 player.

die werden alle auf /dev/sda1 gemapped wenn ich sie einstecke, kann ich irgendwie einstellen, dass mein keydevice /dev/sda1 wird, die kamera sdb1 und der mp3 player sdc1?

sonst würde er ja unter umständen auf der kamera nach dem file suchen, das wäre ja doof ;)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 2:43 pm    Post subject: Reply with quote

Ja, das ist richtig. Das soll man wohl mit udev machen können.
Ansonsten ne lösung: Das keydevice immer beim booten drinne haben und die anderen nur währned des betriebes einstecken. Dann werden die ja hintendran gehängt.

Oder ne diskette nehmen, die ist dann immer /dev/fd0.
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Mon Nov 01, 2004 2:50 pm    Post subject: Reply with quote

Grundsätzlich ist die Annahme das man Daten auf der Platte haben muß (also nicht Sektoren mit Inhalt 0000) noch aus der Zeit von cryptoloop, die den ECB mode genommen hat, dieser Mode (Electronic CodeBook Mode) führte dazu das jeder Sektor mit gleichem Inhalt auch encrypted den gleichen Inhalt hatte ;). dm-crypt jedoch fügt noch nen IV hinzu (InitVektor), nämlich die Sektornummer, damit ist das Problem nicht mehr vorhanden. Grundsätzlich war das Problem auch noch bei den ersten loop-aes Versionen vorhanden.

Bei dm-crypt ist das ganze nicht mehr so schlimm, das ist jetzt sicher genug ;)

Btw wegen Benchmarks, Twofish ist nicht generell schneller als AES. Hat sehr viel mit der Implementation zu tun ;)

http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 3:02 pm    Post subject: Reply with quote

@Anarcho:

ja, da kommt jetzt ein kleines problem:

ich habe dein script jetzt mal eingebaut, das zeugs auf meinen usb stick gesteckt und konfiguriert. händisch als root einmal crypto_mount und crypto_umount eingetippert, tut.

in die /etc/conf.d/local.start getan und dann bekomme ich beim booten zuerst mal diese fehlermeldung:

Quote:
* Starting local...
mount: wrong fs type, bad option, bad superblock on /dev/mapper/mp3,
or too many mounted file systems
ERROR: Mounting crypto-device
* Failed to start local. [ !! ]



woher kommt denn das? wenn ich als root eingelogged bin, dann kann ich von hand die beiden befehle wieder aufrufen und schwupps, sie tun.

*wunder* :?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 3:03 pm    Post subject: Reply with quote

Anarcho wrote:
Ja, das ist richtig. Das soll man wohl mit udev machen können.
Ansonsten ne lösung: Das keydevice immer beim booten drinne haben und die anderen nur währned des betriebes einstecken. Dann werden die ja hintendran gehängt.
Oder ne diskette nehmen, die ist dann immer /dev/fd0.


hehe, und ja, ich sehe schon, ich muss mich auf meine alten tage noch mit udev rumschlagen ;)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 3:11 pm    Post subject: Reply with quote

Hast du es mit gpg verschlüsselt?

Und wenn ja, kommt die pw abfrage?
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 3:26 pm    Post subject: Reply with quote

ja, ich verschlüssle mit gpg, und nein, die pw abfrage kommt nicht. problem: ich muss jetzt gleich weg, ich komm aber so in 2-3std. wieder.

hier aber meine config datei:

Code:
USE_GPG="yes"                   # Is the keyfile encrypted with gpg?
MAPPER_NAME="dump"               # Mapper-device name
DEVICE_NAME="/dev/hdd1"         # Name of the partition-device, e.g. hda3
CRYPTSETUP_OPTIONS=""          # Options for cryptsetup like -s 128 -h plain
KEYFILE="dump_key.gpg"              # Name of the keyfile
KEYDEVICE_NAME="/dev/sda1"      # Name of the device where the key should be found
KEYDEVICE_MOUNT="/camera"       # Mountpoint for the keydevice
CRYPTO_MOUNT="/dump"             # Moutpoint for the crypto-device
CRYPTO_FS="ext3"                # Filesystem of the crypto-device
MOUNT_OPTIONS="user,exec"       # Mountoptions for the crypted device
RELOAD_USB_STORAGE_MODUL="no"   # Defines whether the script should reload the usb_storage modul or not


wie gesagt, händisch ausgeführt tuts.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 3:33 pm    Post subject: Reply with quote

Ich denke ich habe das problem gefunden: gpg steht bei dir beim hochfahren noch nicht im pfad, daher findet er es nicht. Es gibt nun ne neue Version, die das problem beheben sollte, da nun absolute pfade angegeben sind. Hoffe es klappt damit:

Edit: Fehler in neuer Version behoben, siehe weiter unten oder hier downloaden:

www.ssm-server.de/crypto_mount.tar.gz
_________________
...it's only Rock'n'Roll, but I like it!


Last edited by Anarcho on Mon Nov 01, 2004 10:08 pm; edited 1 time in total
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 6:57 pm    Post subject: Reply with quote

hey anarcho,

wieder da, grade mit der neuen version von dir rebooted, leider hab ich immernoch den selben fehler.

hmm hmm, kann man irgendwo debugging information sehen in deinem script?
evtl. kannst du ihm beibringen alles bei debug=true in ein logfile zu schreiben.
der fehler ist jedenfalls an sich eine pleite, das fs ist ja korrekt... hmm, aber genau das war auch der fehler den ich hatte als ich das mit der local.start versucht hatte.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 8:45 pm    Post subject: Reply with quote

Also nachwievor kommt keine gpg abfrage? Was sagt denn ein

which gpg
_________________
...it's only Rock'n'Roll, but I like it!
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 8:55 pm    Post subject: Reply with quote

Quote:
toskala@octane toskala $ which gpg
/usr/bin/gpg


das sagts
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2970
Location: Germany

PostPosted: Mon Nov 01, 2004 10:07 pm    Post subject: Reply with quote

Eine neue Version ist da, nun funktioniert auch gpg beim booten!
Edit: Und mögliches warten auf einstecken der key-diskette

Download unter: www.ssm-server.de/crypto_mount.tar.gz

Neueste Version siehe weiter unten...
_________________
...it's only Rock'n'Roll, but I like it!


Last edited by Anarcho on Thu Nov 04, 2004 9:59 pm; edited 2 times in total
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon Nov 01, 2004 10:14 pm    Post subject: Reply with quote

yea, perfect! ich bin begeistert :) *frontpagenachpfleg* :)
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
Bender007
Tux's lil' helper
Tux's lil' helper


Joined: 11 Aug 2003
Posts: 110
Location: Göttingen

PostPosted: Tue Nov 02, 2004 10:39 am    Post subject: Reply with quote

Quote:
für aes ist es vollkommen egal wie "viel" daten du verschlüsselst. das scheint ein weit verbreiteter irrglaube zu sein, das liegt natürlich an den verschiedenen algorithmen, aber aes macht das schon gut.


also ich meinte bei der installation von crypto also wenn der key erstellt wird und und und da soll es angeblich (laut einiger Forumbeiträge) besser sein die Festplatte vorher mit randomdata zu füllen (dd ...).

Danke hat alles wunderbar geklappt endlich mal ne installation die beim 1.mal perfekt funktioniert hat mein anderer server 500MhzCeleron hat da bei der installation n paar schwierigkeiten gemacht...
Das Script was Anarcho gepostet hat werd ich auf allerjedesten fall auspobieren !! :)
Back to top
View user's profile Send private message
twickl
n00b
n00b


Joined: 17 Jun 2004
Posts: 26

PostPosted: Thu Nov 04, 2004 5:58 pm    Post subject: Reply with quote

Hallo,

ich hab da mal eine Frage. Ich habe alles wie oben beschrieben gemacht. Nun möchte ich das Device mounten:
Code:

mount -o user /dev/mapper/Crypt /home/username/Crypt

also als Ordenr im Home-Verzeichniss des Users. Nun hat der User aber keine Schreibrechte in diesem Ordner?! Ist die Option -o user nicht extra dazu da? Zumindest verstehe ich das so in man mount.

Wie bekomme ich Schreibrechte für User in dem Ordner? Muss ich immer von Hand die rechte ändern nach dem mounten?

Vielen Dank

twickl
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Thu Nov 04, 2004 6:39 pm    Post subject: Reply with quote

der ordner muss natürlich auch für den user lesbar/schreibbar sein, das änderst du mit chown und chmod.
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
twickl
n00b
n00b


Joined: 17 Jun 2004
Posts: 26

PostPosted: Thu Nov 04, 2004 9:19 pm    Post subject: Reply with quote

ich möchte das hier gepostete Script nutzen. Ist auch gar kein Problem. Aber ich habe ein Problem mit mount. ich muss doch -t ext2fs angeben wenn ich eine ext2 Partition mounten möchte, richtig? Dann kommt die Meldung von mount das dieses Dateisystem nicht vom Kernel supportet wird?! Ich habe aber eine swap partition die ext2 ist! Ich habe die crypto Partition vorher auch schon mit ext3 formatiert und dann mount -t ext3fs angegeben, auch da kam die Meldung der Kernel würde das nicht supporten. Aber meine root partition ist ext3! Wie kann er das dann nicht können? Und wenn ich menuconfig mache ist ein Sternchen bei ext3.
Hat vielleicht jemand eine Idee?
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Thu Nov 04, 2004 9:25 pm    Post subject: Reply with quote

twickl wrote:
ich muss doch -t ext2fs angeben wenn ich eine ext2 Partition mounten möchte
, richtig?


äh, nein ext2

twickl wrote:
Dann kommt die Meldung von mount das dieses Dateisystem nicht vom Kernel supportet wird?! Ich habe aber eine swap partition die ext2 ist!


nein, das hast du unter garantie nicht. swap hat ein spezielles swap-fs und kein ext2fs.

twickl wrote:

Ich habe die crypto Partition vorher auch schon mit ext3 formatiert und dann mount -t ext3fs angegeben, auch da kam die Meldung der Kernel würde das nicht supporten. Aber meine root partition ist ext3! Wie kann er das dann nicht können? Und wenn ich menuconfig mache ist ein Sternchen bei ext3.


du machst schon als root:

mount -t ext3 /dev/mapper/<mapper> /mnt/<mountpoint>

?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
twickl
n00b
n00b


Joined: 17 Jun 2004
Posts: 26

PostPosted: Thu Nov 04, 2004 9:36 pm    Post subject: Reply with quote

iIch mache als root

Code:

mount -t ext2 /dev/mapper/NAME /home/USER/Crypt


Jetzt kommt die Meldung:

Code:

mount: wrong fs type, bad option, bad superblock on /dev/mapper/Crypt,
            or too many mounted file systems


Ich habe aber das Device mit

Code:

mke2fs /dev/mapper/NAME


formatiert
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3, ... 9, 10, 11  Next
Page 2 of 11

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum