| View previous topic :: View next topic |
| Author |
Message |
Zaibatsu
n00b
Joined: 22 Feb 2007
Posts: 1
|
 Posted: Thu Feb 22, 2007 6:53 pm Post subject: dmcrypt Problem |
 |
|
Hallo erstmal^^,
bin ein ganz frischer Gentoouser und auch ganz neu in diesem Forum.
Ich habe ein Problem und zwar folgendes. Auf meinem neuen Fileserver läuft ein Raid 5, welches mit mdadm realisiert wurde[/code][/quote]. Das funktioniert soweit echt super. Als nächsten Schritt wollte ich mit dem tool dmcrypt dieses Raid verschlüsseln. Dazu bin ich wie folgt vorgegangen:
| Code: | | cryptsetup -y -s 256 -c twofish-cbc-essiv:sha256 luksFormat /dev/md/0 |
anschließend mappe ich das verschlüsselte Volume mit
| Code: | | cryptsetup luksOpen /dev/md/0 media |
nach Eingabe des passphrases geht es im nächsten Schritt weiter mit der Formatierung mit ext3 als fs
| Code: | | mkfs.ext3 /dev/mapper/media |
und zu guterletzt mounte ich das ganze dann noch
| Code: | | mount /dev/mapper/media /nas |
Soweit so gut...Funktioniert bis dahin alles traumhaft, aber wenn ich jetzt lustig auf das Raid kopiere und davon lese sollte ja eigentlich
alles was darauf geschrieben und davon gelesen wird entweder ver- oder entschlüsselt werden. Heisst im Endeffekt, der kcryptd sollte ordentlich CPU-Leistung fressen. Tut er in meinem Fall aber überhaupt nicht. Wenn ich während ich gleichzeitig kopiere und lese
eingebe erhalte ich folgendes Ergebnis
[quote] 948 root 10 -5 0 0 0 S 0.0 0.0 0:00.06 kcryptd/0[code]
Das sieht für mich jetzt irgendwie so aus, als würde die ganze Verschlüsselei irgendwie nicht funktionieren  . Gibt es irgendwie einen Weg, mit dem ich sicherstellen, dass das Raid tatsächlich verschlüsselt worden ist? Bzw. alles was jetzt darauf gespeichert ist auch sukzessive verschlüsselt wird?. Wäre sehr dankbar über eine paar Tips oder eine konkrete Hilfestellung.
Mit freundlichen Grüßen,
der Gentooneuling Zaibatsu |
|
| Back to top |
|
 |
Tommy[D]
Retired Dev
Joined: 13 Feb 2005
Posts: 66
|
| Posted: Sat Feb 24, 2007 1:04 am Post subject: |
|
|
Wie wäre es einmal mit dem Versuch, die Partition direkt zu mounten? Eine verschlüsselte Partition wirst du nicht direkt gemountet bekommen. 
2. Variante: Live-CD, z.B. Knoppix testen. Dort wird soweit ich weiß, alles was gemountet werden kann, gemountet und du kannst darauf zugreifen, die verschlüsselte Partition dürftest du dir damit nicht ansehen können. |
|
| Back to top |
|
|
slick
Bodhisattva
Joined: 20 Apr 2003
Posts: 3495
|
| Posted: Sat Feb 24, 2007 3:02 am Post subject: Re: dmcrypt Problem |
|
|
| Zaibatsu wrote: | [...]
| Code: | | cryptsetup -y -s 256 -c twofish-cbc-essiv:sha256 luksFormat /dev/md/0 |
[...]
Das sieht für mich jetzt irgendwie so aus, als würde die ganze Verschlüsselei irgendwie nicht funktionieren . |
Twofish ist ein sehr flotter Algorithmus (afaik schneller als aes), in Kombination mit einer aktuellen CPU kann das durchaus kaum spürbar/messbar sein. |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Sat Feb 24, 2007 5:30 pm Post subject: |
|
|
| Oder einfach mal die Festplatte mit dem lde untersuchen und gucken, ob der Inhalt schlüssig ist, eine Verschlüsselung erkennt man in der Regel sofort. |
|
| Back to top |
|
|
Haldir
Guru
Joined: 27 Sep 2002
Posts: 546
|
| Posted: Sat Feb 24, 2007 5:35 pm Post subject: |
|
|
| Pegasus87 wrote: | | Oder einfach mal die Festplatte mit dem lde untersuchen und gucken, ob der Inhalt schlüssig ist, eine Verschlüsselung erkennt man in der Regel sofort. |
Sagens wir mal so, er erkennt ob keine normale Partition drauf ist, bis auf den Header hast du ziemliche Probleme den Inhalt der Sektoren einer verschlüsselten Partition von Zufallszahlen zu unterscheiden  |
|
| Back to top |
|
|
Pegasus87
Guru
Joined: 09 Sep 2004
Posts: 373
|
| Posted: Sat Feb 24, 2007 9:51 pm Post subject: |
|
|
| Haldir wrote: | | Pegasus87 wrote: | | Oder einfach mal die Festplatte mit dem lde untersuchen und gucken, ob der Inhalt schlüssig ist, eine Verschlüsselung erkennt man in der Regel sofort. |
Sagens wir mal so, er erkennt ob keine normale Partition drauf ist, bis auf den Header hast du ziemliche Probleme den Inhalt der Sektoren einer verschlüsselten Partition von Zufallszahlen zu unterscheiden |
Man erkennt das aber eigentlich immer, wenn dort nirgends Datei- oder Verzeichnisnamen auftauchen, dass das ganze verschlüsselt ist. |
|
| Back to top |
|
|
Haldir
Guru
Joined: 27 Sep 2002
Posts: 546
|
| Posted: Sat Feb 24, 2007 11:31 pm Post subject: |
|
|
Nein, da besteht ein Unterschied, du erkennst das keine normale Partition drauf ist, die Festplatte könnte aber genauso gut wiped clean sein (wenn man vom Header absieht)
Mag sein das es logisch erscheint das die Festplatte dann verschlüsselt ist, aber der Unterschied ist da und hat was mit plausible deniability zu tun.
Zwar nicht das Ziel bei luks, aber der Unterschied sollte dir bewußt sein. |
|
| Back to top |
|
|
|
Deutsches Forum (German)
