KingGoy
Anmeldungsdatum: 1. Januar 2008
Beiträge: 62
|
Hallo, stehe vor der Herausforderung, mich nun entscheiden zu müssen. Ich habe einen Home-Server in Betrieb, der im Dachboden ohne Bildschirm und Tastatur steht und der als Bilder- und Film-Speicher dient. Dort soll eine Festplatte für Daten verschlüsselt werden, allerdings meldet sich niemand am Rechner an, es werden lediglich Laufwerke per NFS / Samba an verschiedene Rechner (D-Box, Laptop, Kinder) bereitgestellt. Eine ganze Platte soll verschlüsselt werden, alternativ soll ein die Platte ausfüllendes Containerfile erstellt werden. 1. Ich möchte mich per ssh auf den Server vebinden, dort manuell eine Platte/Container per Terminal mounten, anschliessend das Terminal beenden und das Volume soll gemounted bleiben, geht das mit den beiden Programmen? 2. Welches Programm bietet den besseren deutschprachigen Support bei Stromausfall oder anderen Problemen? 3. Welches Programm belastet bei AES 256 Bit die CPU weniger? Danke für Eure Tipps Moderiert von rklm: Die Diskussion über die Vertrauenswürdigkeit der Algorithmen ist jetzt hier.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
LUKS halte ich für robuster und sicherer - ist direkt im Kernel integriert, TrueCrypt musste dagegen letztens erst auf NSA-Lücken überprüft werden und wurde auf uraltem Windows kompiliert, noch heute. System verschlüsseln oder im Installer einfach den Haken bei Systemverschlüsselung (mit LVM) setzen. 1. ja 2. beides Open Source, also keins?! Hier gibt's Support oder bei professionellen Datenrettungsfirmen. Mit Backup brauchst du keinen Support für System und Daten! 3. Keine Ahnung, aber LUKS ist sehr performant und schon voreingebaut (Kernel und Systemkomponenten). Aus meiner Sicht eine klare Empfehlung für LUKS - und mit Truecrypt kannst du unter Linux nicht das ganze System verschlüsseln! Klappt auch wunderbar mit z.B. Containerdateien. Ohne weitere Software, die man nachinstallieren muss. GUI in der Festplattenverwaltung enthalten! Grüße, Benno
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Nimm Luks. Es bietet eine extrem reichhaltige Optionswahl und im Gegensatz zu Truecrypt wurde es nicht mit dem Ziel des Einsammelns von Spendengeldern oder der Werbung entwickelt. Der Author ist absolut vom Fach.
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7656
|
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
LUKS, die Frage der Performance ist eine Frage der CPU. Aktuelle i3 auf Haswell Basis können teilweise auch schon mit AES-NI umgehen. mfg Stefan Betz
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Benno-007 schrieb: 2. beides Open Source, also keins?!
Die Offenlegung des Quellcodes sagt nichts über den Support aus.
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Hi. Da in TrueCrypt gerade erst wieder eine Schwachstelle entdeckt wurde, die das ganze für Bruteforce anfällig macht, ist die Frage der Sicherheit schonmal geklärt. http://www.heise.de/security/meldung/TrueCrypt-geprueft-Keine-Backdoor-laxe-Programmierstandards-2170398.html
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Ich meine damit, es steht nicht unbedingt eine Firma dahinter, die nur drauf wartet, dass man anruft.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Benno-007 schrieb: Ich meine damit, es steht nicht unbedingt eine Firma dahinter, die nur drauf wartet, dass man anruft.
Auch Firmen, die auf Anrufe warten, veröffentlichen Ihren Code. Und nicht alle, die das nicht tun, warten auf Anrufe.
|
KingGoy
(Themenstarter)
Anmeldungsdatum: 1. Januar 2008
Beiträge: 62
|
Ich danke Euch für die Beiträge, ich werde das ganze dann mit Luks umsetzen.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Und wo führt das jetzt konkret hin? Bei Truecrypt kann man vielleicht wen anrufen. Wen ruft man bei LUKS an? ...
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Benno-007 schrieb: Und wo führt das jetzt konkret hin? Bei Truecrypt kann man vielleicht wen anrufen. Wen ruft man bei LUKS an? ...
Mir ging es um Deine Gleichsetzung Open Source = ohne Support, was eben überhaupt nichts miteinander zu tun hat. Es gibt Open Source Software mit Support so wie Closed Source Software ohne Support. Sorry KingGoy für die Off-Topic-Diskussion. Viel Erfolg mit LUKS.
|
Vegeta
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
stfischr schrieb: Da in TrueCrypt gerade erst wieder eine Schwachstelle entdeckt wurde, die das ganze für Bruteforce anfällig macht, ist die Frage der Sicherheit schonmal geklärt. http://www.heise.de/security/meldung/TrueCrypt-geprueft-Keine-Backdoor-laxe-Programmierstandards-2170398.html
Das liest sich so, als ob es schon mehrere Schwachstellen in der jüngsten Vergangenheit gegeben hätte. Dem ist aber nicht so. Zudem steht eine genaue Analyse des Sourcecodes von LUKS aus, ist ja gut möglich dass LUKS noch viel größere Schnitzer inne hat. Für mich ist jedenfalls mindestens genauso ein großer Schnitzer, dass LUKS in Klartext im Header speichert:
verwendeter Verschlüsselung-Algorithmus verwendeter Hash-Algorithmus Größe des Masterschlüssels
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
Vegeta schrieb: Für mich ist jedenfalls mindestens genauso ein großer Schnitzer, dass LUKS in Klartext im Header speichert:
Dann eben direkt dm-crypt, ohne LUKS. Ist auch möglich, siehe auch die Manpage von cryptsetup: The difference is that LUKS uses a metadata header and can hence offer more features than plain dm-crypt. On the other hand, the header is visible and vulnerable to damage.
verwendeter Verschlüsselung-Algorithmus verwendeter Hash-Algorithmus Größe des Masterschlüssels
Was wohl Informationen sind die sonst auf meinem /boot mehr oder weniger gut versteckt rumliegen, oder ich müsste die jedes mal eintippen wenn ich den Rechner boote. Oder man bleibt beim Default, dann müsste man nichtmal raten. Ich denke die Vorteile von LUKS überwiege die Nachteile doch recht deutlich. mfg Stefan Betz
|
Vegeta
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
encbladexp schrieb: Was wohl Informationen sind die sonst auf meinem /boot mehr oder weniger gut versteckt rumliegen, oder ich müsste die jedes mal eintippen wenn ich den Rechner boote. Oder man bleibt beim Default, dann müsste man nichtmal raten. Ich denke die Vorteile von LUKS überwiege die Nachteile doch recht deutlich.
Ob der Verschlüsselungs- und der Hash-Algorithmus separat gespeichert werden muss, denke ich nicht. Man könnte auch alle Methoden durchgehen, nachdem das Passwort eingegeben wurde. Das würde nur 'ne Millisekunde dauern und würde potentiellen Angreifern das Leben erschweren. Warum allerdings die Größe des Masterschlüssels gespeichert wird, erschließt sich mir überhaupt nicht. Dadurch verringern sich die Kombinationen eines Schlüssels um 10%. Und bezüglich der Code-Qualität lässt sich so lange keine Aussage treffen, so lange der Quellcode nicht ebenfalls einem Audit unterzogen wurde.
|