Wie löscht man eigentlich sicher eine mit LUKS verschlüsselte Festplatte? Man braucht doch nur den Header zu löschen, oder? Wie macht man das konkret? Mit wipe oder shred
1 | /dev/mapper/luks-... |
löschen?
Anmeldungsdatum: Beiträge: 873 |
Wie löscht man eigentlich sicher eine mit LUKS verschlüsselte Festplatte? Man braucht doch nur den Header zu löschen, oder? Wie macht man das konkret? Mit wipe oder shred
löschen? |
||
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
sudo cryptsetup luksHeaderBackup GERÄTEDATEI --header-backup-file BACKUP-DATEI shred BACKUP-DATEI sudo cryptsetup luksHeaderRestore GERÄTEDATEI --header-backup-file BACKUP-DATEI sollte das eigentlich in Sekunden bewerkstelligen 😉 |
||
Anmeldungsdatum: Beiträge: 7658 |
@lionlizard: Backup file doesn't contain valid LUKS header. Du kannst einfach Wenn dann Ich würde shred aber trotzdem ganz durchlaufen lassen. Dann ist es wirklich weg - solange die Daten verschlüsselt noch da sind, gibt es zumindest noch eine theoretische Möglichkeit es herzustellen (vielleicht hast du ja doch mal dummerweise den LUKS-Header kopiert gehabt). |
||
Anmeldungsdatum: Beiträge: 6244 Wohnort: Berlin |
Tja, ich hatte gerade keine Partition zum ausprobieren, aber danke, gut zu wissen. |
||
Anmeldungsdatum: Beiträge: 7658 |
Wenn du mit cryptsetup den luksHeader killen willst, machst du ansonsten einfach ein luksFormat und fertig. Das überschreibt den alten Header mit einem zufälligen neuen Header. |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ok, danke für Eure Antworten! Ja, natürlich: Einfach dadrüber einen neuen verschlüsselten Datenträgern mittels LUKS erstellen. Das Leben kann so einfach sein 😉 Da mein Passwort allerdings nicht besonders stark war, werd ich trotzdem der ganze Festplatte ein
spendieren... |
||
Anmeldungsdatum: Beiträge: 7658 |
Die Stärke deines Passworts, hat mit den verschlüsselten Daten (und deren Verschlüsselungsstärke) an sich nichts zu tun. Dein Passwort schaltet nur den Masterkey frei und der ist immer zufällig. Du kannst das Passwort auch beliebig ändern ohne daß sich dieser zufällige Masterkey ändert (sonst müssten alle Daten neu geschrieben werden). |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Natürlich, danke für den Hinweis. Also Passwort ändern (mit Passwortgenerator und ausreichend Stellen), altes Passwort löschen und neuen verschlüsselten Datenträgern mittels LUKS erstellen. Das sollte reichen... Da kann ich jetzt Nachts wieder beruhigt schlafen 😉 Ein
bei 2 TB ist schon zeitaufwendig... |
||
Anmeldungsdatum: Beiträge: 7658 |
Passwort ändern kannst du dir sparen... den luksFormat auch wenn du dann eh shred machst. shred sollte eigentlich schnell laufen (auch mit Zufallsdaten - wenn schon denn schon). Eben (annähernd) so schnell wie die Platte selbst ist. 2TB sollten da in ein paar Stunden erledigt sein. Das ist nicht so wie /dev/urandom wo man dann zwei Wochen warten muss... |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Sorry, vielleicht hab ich mich unklar ausgedrückt. Eigentlich will ich mir shred und wipe etc. ersparen. Ein
bei 1 TB haben schon fast 20 Stunden gedauert. Das war eine WD Elements und USB 3.0 auch am Gehäuse... Hier wird übrigens behauptet, dass wenn man eine Festplatte auch nur einmal mit Nullen überschreibt, alle Daten unwiederbringlich verloren sind... |
||
Anmeldungsdatum: Beiträge: 7658 |
Völlig richtig - solange die Nullen auch tatsächlich geschrieben werden. Speichermedien werden intelligenter und Nullen lassen sich nun mal wegoptimieren (Deduplizierung, Komprimierung, ...). Bei Zufallsdaten geht das alles nicht, da kommt das Medium dann nicht drum herum, diese auch tatsächlich zu schreiben. Ergo nehme ich (wenigstens Pseudo-)Zufallsdaten statt Nullen - kostet ja nichts, ist im Fall von shred gleich schnell. |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ok, überredet. Ich werde die Festplatte mit shred mit Zufallszahlen überschreiben. Lass ich eben den Rechner mal zwei Tage laufen. Letzte Frage: EIN Durchlauf mit Zufallszahlen sollte dann aber dicke reichen, oder!? |
||
Anmeldungsdatum: Beiträge: 7658 |
Ja sicher, ein Durchlauf reicht so oder so. (Wenn die Platte beim ersten Durchlauf was auslässt, dann macht sie das auch beim zweiten...) |
||
(Themenstarter)
Anmeldungsdatum: Beiträge: 873 |
Ok, danke Dir! |
||
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Wenn das PW zu schwach war, kann ▶ LUKS doch bis zu 8 PW verwalten - da kannst du beliebig schwache PW löschen und starke vergeben. Keiner mehr kommt da (ohne Image der Platte oder so, wo doch noch zum PW passende Header sind, wo das PW noch nicht gelöscht wurde) dran, wenn das schwache PW einfach nur gelöscht oder ersetzt wurde. Shreddern/ Formatieren war daher ziemlich sinnloser Aufwand. PW ändern, also neues hinzufügen - testen - altes löschen - fertig. 😉 Nicht aussperren. 😉 Das Backup hattest du hoffentlich auch verschlüsselt. 😉 Grüße, Benno |