-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallöchen Gerd,
ich habe mich eine Zeit lang einmal damit auseinander gesetzt und lasse derzeit meine Platten verschlüsselt laufen, jedoch nicht das System selbst, das war mir dann doch etwas heikel. Ich nutze Archlinux und habe eine 256er Platte (SSD) als System-Platte. des weiteren habe ich in meinem System diverse Platten, die allesamt mit LUKS komplett verschlüsselt sind. Hierzu habe ich zunächst eine Partition auf der Platte angelegt, (sdx1), diese dann mit LUKS verschlüsselt, darin dann erst das Dateisystem angelegt und diese später zum Mounten vorbereitet. Geschwindigkeitsprobleme selbst habe ich noch nicht feststellen dürfen, allerdings war die Installation etwas langwierig. Mittels "schred" habe ich erst einmal die Platten komplett mit Datenmüll gefüllt um dann darin den LUKS-verschlüsselten Teil anzulegen. Das dauert bei 2TB Platten recht lange (>4h). Was den key anbetrifft muss ich gestehen, habe ich gleich zwei. Einmal auf einem USB Stick (für das automatische entschlüsseln) und einmal als fallback mit passphrase (falls der Stick mal nicht mehr will oder verloren geht, etc.). Fakt ist: kommt dir der Schlüssel abhanden, ist Essig mit den Daten. Damit das ganze etwas praktikabler wird, habe ich mir zwei Skripte geschrieben, die mir per passwort-Eingabe die Platten entsprechend entschlüsseln und anschliessend an die richtige Stelle mounten, einmal automatisch beim einstecken des USB-Sticks und einmal manuell. Wenn man das komplette System nicht verschlüsselt, sondern nur Teile, dann muss man allerdings noch eine Menge Nacharbeit leisten, kommt letztendlich auf den Grund der Verschlüsselung an. So zum Beispiel arbeite ich fast ausschliesslich mit "mlocate" bzw. "locate". Die Datenbank liegt jedoch nicht auf einem verschlüsselten Datenträger und stünde also auch ohne das einbinden der Partitionen zur Verfügung (was ich nicht will), sprich ich habe eine Menge Zeugs auf den verschlüsselten Platten untergebracht und einfach per Symlink im "lesbaren" Dateisystem verlinkt. Hier braucht es einfach etwas Zeit um sich das ganze Zeug heraus zu suchen und man muss natürlich darauf achten, dass man nichts vergisst. Warum habe ich das ganze System nicht komplett verschlüsselt? Weil ich meinen Rechner auch mal per Netzwerk aus der Ferne starte und ohne Passwort-Eingabe das System nicht hochgefahren bekomme. Ich müsste also bei einer kompletten Verschlüsselung immer vor dem Rechner sitzen, und das wollte ich vermeiden.
Gruß Maddin
Am 26.08.2013 11:05, schrieb Gerd Göhler: