MoonKid schrieb:
Da gibt es noch ein netbook (Lubuntu 14.04.2), das sich per Unison über SSH die Arbeitsdaten und auch diverse Anwendungsdaten (.mozilla, Mails von Claws, ...) holt und auch wieder zurückschaufelt. Die Kiste ist noch schwächer. Ein netbook der zweiten Generation mit single-core. Verschlüsselung stelle ich mir hier auch rechnerisch aufwendig vor.
Was sind eure Erfahrungen dazu?
Mein Netbook Asus EEE 901 mit 1,6 Ghz Single Core CPU ist vollverschlüsselt und ich merke im Alltag keine nennenswerte Verzögerung gegenüber meinen viel schnelleren, ebenfalls vollverschlüsselten Systemen. edit: Du kannst zudem durch die Länge des Verwaltungsschlüssels (128 oder 256 Bit) und Wahl des Algorithmus' den Rechenaufwand steuern. Für den Alltag dürften auch 128 Bit immer noch sicher genug sein. Siehe dazu LUKS: Erstellen Punkt 2, Kasten „Experten-Info“.
Mit unverschlüsselten Systemen kann ich es nicht vergleichen, weil ich keine solchen habe. 😎
MoonKid schrieb:
Über das Wie und Womit bin ich mir noch völlig unklar.
Es scheint hier diverse Möglichkeiten zu geben eine bestehendes unverschlüsseltes System nachträglich zu verschlüsseln.
Im Prinzip gibt es drei übliche Methoden unter Ubuntu:
nur das Homeverzeichnis verschlüsseln
Vollverschlüsselung mit LVM
Vollverschlüsselung ohne LVM
Wobei mit/ohne LVM nur die Partitionierungsmethode betrifft und nichts mit der eigentlichen Verschlüsselung zu tun hat. Bei einem LVM wird zuerst die Partition, in die das LVM kommen soll, verschlüsselt und dann in der Verschlüsselung das LVM mit seinen logischen Volumes angelegt. Die Volumes entsprechen Partitionen bzw. logischen Laufwerken der erweiterten Partition der herkömmlichen Partitionierung. In den Volumes werden dann die Dateisysteme angelegt.
Bei der herkömmlichen Partitionierung werden eine oder mehrere Partitionen einzeln verschlüsselt und in der jeweiligen Verschlüsselung dann bereits die Dateisysteme angelegt.
Die LVM-Methode hat u.a. den Vorteil, dass beim Systemstart mit einem einzigen Passwort das LVM und alle seine logischen Volumes aufgeschlossen werden. Um mehrere herkömmliche Partitionen mit einem Passwort aufzuschließen, muss man alle weiteren Partionen über eine Schlüsselableitung mit dem Hash der ersten Partition aufschließen lassen. Ohne Schlüsselableitung muss man für jede Partition das Passwort einzeln eingeben. Auch Swap muss dann ggf. extra verschlüsselt werden, bei der LVM-Methode liegt es einfach ebenfalls innerhalb des LVM.
LVM hat weitere Vorteile wie z.B. eine weitaus höhere Flexibilität beim Verändern oder Hinzufügen von logischen Volumes gegenüber den vergleichsweise „starren“ Partitionen.
Nur das Homeverzeichnis zu verschlüsseln ist m.E. nur bei extrem schwacher Rechenkraft sinnvoll (wobei: siehe mein Netbook), oder falls der Systemadministrator nicht in die Daten der abgemeldeten Benutzer schauen können soll. Die Daten der gerade angemeldeten Benutzer sind dadurch nicht geschützt, insofern ist dieser „Schutz“ m.E. nur in sehr wenigen Fällen sinnvoll.
Ansonsten ist es weitaus weniger sicher als die Vollverschlüsselung, da eben der Rest des Systems unverschlüsselt bleibt und es mehrere Orte gibt, an denen persönliche Daten liegen können, z.B. /etc, /var und /tmp.