Hallo,
auch auf die Gefahr hin die Profis zu langweilen: https://wiki.chaostreff.ch/index.php/Festplattenverschl%C3%BCsselung
ist ja vorallem fuer Laptop-Besitzer von Interesse.
Mit der jetzt offiziell freigebenen Etch soll es bei der Installation auswaehlbar sein. Aber ich erzaehle ja nicht neues.
Schoenen Ostermontag, Jan
PS: Einer, der sich ueber die tolle Arbeit der Debianer freut :-)
On Monday 09 April 2007, Jan Rakelmann wrote:
auch auf die Gefahr hin die Profis zu langweilen: https://wiki.chaostreff.ch/index.php/Festplattenverschl%C3%BCsselung
Nur ein paar kleine Warnungen zum Text:
1) der verwendete CBC-Mode hilft nicht gegen alle Angriffsszenarien. Wenn jemand die Möglichkeit hat die Platte über einen längeren Zeitraum immer mal anzuschauen, dann gibt CBC wichtige Informationen frei. CBC ist aber immerhin sicher gegen das normale Diebstahlsszenario (Dieb klaut Laptop exakt einmal und ärgert sich, dass kein Windows drauf ist).
2) Die Kritik an AES ist verfrüht. AES ist sicher. Selbst der zitierte Artikel sagt explizit, dass dies theoretische Ergebnisse ohne praktische Möglichkeiten sind (was für Rüdiger Weis eine ungewöhnlich "optimistische" Einschätzung ist).
3) Was vollkommen unterschlagen wurde: die Sicherheit des Systems steht und fällt mit der Sicherheit der verwendeten Passphrase. Keine Worte aus dem Duden (oder irgendeinem anderen Wörterbuch, auch nicht dem Klingonischen). Groß- und Kleinbuchstaben, Sonderzeichen, Ziffern. Bei normaler Sprache hat jeder Buchstabe 1-2 Bit Zufall (Entropie), bei etwas besseren Passphrasen bis zu 4 Bit - unterhalb von 64 Bit braucht ein Angriff nur ein paar Sekunden bis Minuten, etwa ab 110 Bit wird es sicher. Viel Spass... ;-)
Konrad
Hallo Konrad,
On 4/10/07, Konrad Rosenbaum konrad@silmor.de wrote:
- Was vollkommen unterschlagen wurde: die Sicherheit des Systems steht und
fällt mit der Sicherheit der verwendeten Passphrase.
am besten nimmt man dafür gleich ein USB-Security-Token, das über PIN/PUK geschützt ist. Dieses kann man dann gleich auch zur lokalen Anmeldung am [gkx]dm verwenden, für die VPN-Einwahl und gleich noch ein Kerberosticket holen für imap/smtp/http(s) usw. Ein S/MIME oder OpenPGP-Schlüssel passt da vielleicht auch darauf. Soweit die nahe liegende Theorie; fertige Lösungen kenne ich leider nicht. :-( Es werden immer nur neue Verschlüsselungs- und Authentifizierungsverfahren erfunden, aber über eine praktikable Verwendung in der Praxis macht sich offenbar niemand Gedanken.
Viele Grüße, Torsten
Am Dienstag, den 10.04.2007, 09:05 +0200 schrieb Konrad Rosenbaum:
Konrad,
Nur ein paar kleine Warnungen zum Text:
du kannst einem aber auch klasse die Freude vermiesen.
- normale Diebstahlsszenario (Dieb klaut Laptop
exakt einmal und ärgert sich, dass kein Windows drauf ist).
Ein Laptop wird genau einmal geklaut :-) 2005 hatte ich den ersten Kontakt mit diesem Thema, war dann aber zu umstaendlich. In der letzten Suse war das im Installer drin, ich mag aber Suse nicht so, die fuettern ihr uastier nicht, ist schon ganz gruen vor Hunger. :-)
- Die Kritik an AES ist verfrüht. AES ist sicher. Selbst der zitierte
Artikel sagt explizit, dass dies theoretische Ergebnisse ohne praktische Möglichkeiten sind (was für Rüdiger Weis eine ungewöhnlich "optimistische" Einschätzung ist).
Ich kenn den Mann nicht, aber Nieswurzte gibt es ueberall ...
- Was vollkommen unterschlagen wurde: die Sicherheit des Systems steht und
fällt mit der Sicherheit der verwendeten Passphrase. Keine Worte aus dem Duden (oder irgendeinem anderen Wörterbuch, auch nicht dem Klingonischen). Groß- und Kleinbuchstaben, Sonderzeichen, Ziffern. Bei normaler Sprache hat jeder Buchstabe 1-2 Bit Zufall (Entropie), bei etwas besseren Passphrasen bis zu 4 Bit - unterhalb von 64 Bit braucht ein Angriff nur ein paar Sekunden bis Minuten, etwa ab 110 Bit wird es sicher. Viel Spass... ;-)
Naja, ich denke ersthaft darueber nach, was mir nur noch nicht so recht klar ist, ist folgendes: Ich mache mir das Leben leicht, lege eine grosse root-Partition an. Darin ist dann als auch mein home. Jetzt geht der Rechner kaputt. Ok, ich baue die Platte aus, und hoffe sie in einen anderen Linuxrechner stecken zu koennen.
Wenn da aber keine Verschluesselungsunterstuetzung drin ist stehe ich auf dem Schlauch. Mift! Und nun?
Jan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo!
Jan Rakelmann schrieb:
Naja, ich denke ersthaft darueber nach, was mir nur noch nicht so recht klar ist, ist folgendes: Ich mache mir das Leben leicht, lege eine grosse root-Partition an. Darin ist dann als auch mein home. Jetzt geht der Rechner kaputt. Ok, ich baue die Platte aus, und hoffe sie in einen anderen Linuxrechner stecken zu koennen.
Kannst du machen.
Wenn da aber keine Verschluesselungsunterstuetzung drin ist stehe ich auf dem Schlauch. Mift! Und nun?
Wenn du Verschlüsselung willst brauchst du mindestens 2 Partitionen, die "große verschlüsselte root-Partition (inklusive home)" und eine kleine unverschlüsselte boot-Partition. In dieser liegt alles notwendige zum booten (Bootloader, Kernel, Ramdisk), alles was für die Verschlüsselung benötigt wird ist auf dieser Partition! Wenn also die boot-Partition auf der gleichen Platte wie die verschlüsselte Partition liegt dann hast du alles was du benötigst um deine Daten zu lesen auf der Festplatte, die kannst du auch in einen anderen Rechner schieben und dein Linux (von dieser Platte) booten.
Gruß Johannes
Jan Rakelmann schrieb:
Wenn da aber keine Verschluesselungsunterstuetzung drin ist stehe ich auf dem Schlauch. Mift! Und nun?
Irgendwie musst Du den Rechner doch booten. Von derselben Platte oder einer anderen. Bei derselben, hau einfach einen 08/15-Kernel als Sicherheit mit drauf, der dann „überall“ booten kann.
Tobias, der Festplattenverschlüsselung auch noch nicht so ganz begriffen hat.
Kennt Ihr TrueCrypt (www.truecrypt.org)? Damit kann man verschlüsselte Container und verschlüsselte Partitionen anlegen.
Die Verschlüsselung wird mit einen Kennwort und/oder mit einer Schlüsseldatei geschützt.
TrueCrypt ist ausserdem Platformübergreifend, es gibt Treiber für Linux und Windows (mittlerweile auc für Vista) und die Mac OS-X Version ist wohl in Arbeit.
Mit freundlichen Grüßen Chris
Christian Franke franke.christian@gmx.de wrote:
Kennt Ihr TrueCrypt (www.truecrypt.org)? Damit kann man verschlüsselte Container und verschlüsselte Partitionen anlegen.
Nutzen einige Leute, die ich kenne, unter Windows. Wieso?
mfg, Fabian
Am Samstag, den 14.04.2007, 09:13 +0200 schrieb Christian Franke:
Christian,
Kennt Ihr TrueCrypt (www.truecrypt.org)?
Ich, ja.
TrueCrypt ist ausserdem Platformübergreifend, es gibt Treiber für Linux und Windows (mittlerweile auc für Vista) und die Mac OS-X Version ist wohl in Arbeit.
Meiner Meinung nach ist das die Aufgabe des OS-Bauers. Was Redmond dabei macht ist mir voellig gleich, in den Heisemeldungen liest man so lustige Sachen wie: "MS verbaut eine Virenscanner in Vista, im Heise-Test mit Paucken und Trompeten duchgerauscht."
Soviel zu diesem Thema. Mac gilt fuer mich analog.
In der OS-Welt gibt es GottseiDank mehrere Ansaetze. Mit Konrad und Chris hab ich mich beim letzten Treffen kurz ueber das Thema unterhalten. Vielleicht sollten wir in unser aller Interesse mal unsere Aufmerksamkeit verstaerkt auf diese Thema lenken.
Jan
lug-dd@mailman.schlittermann.de
-
Christian Franke -
Fabian Hänsel -
Jan Rakelmann -
Johannes Lötzsch -
Konrad Rosenbaum -
Tobias Schlemmer -
Torsten Werner