ubuntuusers.de

Ich poste das extra in diesem Bereich, weil es sich nicht um eine Support-Angelegenheit handelt - sondern ich einfach ein paar wilde Fragen in den Raum werfen möchte.

Also, ich habe mich in letzter Zeit ein wenig mehr mit Verschlüsselung beschäftigt bzw. überlegt, ob ich mein System voll oder teilweise verschlüsseln sollte/möchte und außerdem meine externen Festplatten.

Denn nur als eines von vielen Beispielen: gibt es ja auch nicht wenige Einbrüche in der Bundesrepublik. Man kann sich also nie ganz sicher sein an wen seine Daten gelangen könnten.

Wenn man seinen Laptop bspw. aus unterschiedlichsten Gründen verlieren sollte oder geklaut bekommt, dann möchte man ja auch nicht, dass Fremde auf Private Dokumente zugreifen und noch mehr Schaden anrichten können.

Sei es mir erlaubt hier mal ganz offen zu fragen, ob oder wie viele von euch geschätzt ihr System oder Datenträger teil- oder vollständig verschlüsselt haben? Ich habe bald vor Xenial zu installieren und die automatische Verschlüsselung (LVM) bei der Installation sieht gar nicht so schwer/kompliziert aus.

Wie auch bei der nur teilweisen Systemverschlüsselung sehe ich bei der Datenträger-Verschlüsselung vorallem das Problem, dass temporäre Kopien deiner Dokumente bestehen könnten, sobald du auf sie zugegriffen hast.

Außerdem könnte ich wohl auch nicht mehr mit KODI+Raspberry-Pi auf all meine Daten zugreifen, wenn ich eine ext.Festplatte oder einen UBS-Stick verschlüsseln würde, oder? Möglicherweise nur teilweise verschlüsseln (versch.Partitionen anlegen)?

Ich sage ganz ehrlich, das Thema der Verschlüsselung kann schon ganz schon verwirrend sein, weil man so viele unterschiedliche Dinge beachten muss wie temporäre Daten, Swap, Ruhezustand usw.

Ich habe zur Zeit bswp. nur einen alten Netbook mit Intel-Atom (N450),1GB RAM. Ich frage mich, ob eine Systemverschlüsselung da das System stark beeinflussen würde/der Computer sehr viel an Leistung einbußen würde? Hier sind solche Benchmarks, die mir als Laie aber nicht viel sagen.

Würdet ihr beispielsweise nur eure finanziellen/beruflichen Dokumente schützen oder auch "uninteressante" Dinge wie eure private Schlager-Musiksammlung?

Bräuchte es eine starke CPU/Hardware, um jedes Mal auf seine Urlaubsfotos zugreifen zu können? Als externe Festplatten sind ja heute 500GB,1TB,2TB usw. recht verbreitet. Ich hatte mich vor einiger Zeit mal mit GnuPG ausprobiert und wenn ich mich richtig erinnere, dann kostete alleine die Ver- und Entschlüsselung einer einzelnen MP3-Datei recht viel CPU+Zeit (natürlich Hardware abhängig).

Sehr interessant auch das System verschlüsseln/Entschlüsseln mit einem USB-Schlüssel

Außerdem noch ein Nachtrag zu obigen erwähnten Risiko, dass Dokumente beim/nach dem Öffnen doch noch irgendwo zwischengespeichert worden sind, oder vielleicht sogar nur Tumbnails (die Tumbnails-Erstellung habe ich auf dem viel zu schwachen Netbook aus Ressourcengründen abgeschaltet). Das Wipen ( wipe ) von Daten habe ich auch mal ausprobiert und ich kann mir gar nicht vorstellen wie lange das bei mehreren Gigabytes brauchen würde - selbst mit der schnellen Nullen Überschreibungs-Methode! Nutzt irgendjemand wipe ab und an?

Danke für eure Beiträge. LG, Leo

lubuntu-lulu schrieb:

Sei es mir erlaubt hier mal ganz offen zu fragen, ob oder wie viele von euch geschätzt ihr System oder Datenträger teil- oder vollständig verschlüsselt haben? Ich habe bald vor Xenial zu installieren und die automatische Verschlüsselung (LVM) bei der Installation sieht gar nicht so schwer/kompliziert aus.

Also: Bei mir wird grundsätzlich alles verschlüsselt, und zwar mit LUKS. USB-Sticks verwende ich quasi gar nicht. Ansonsten alle Systeme entweder mit LUKS und LVM oder LUKS und btrfs. Der Server hat zudem einen SSH-Server im initramfs, so dass man in trotz der Vollverschlüsselung von remote starten kann. Weitere Platten sind über das crypttab eingebunden.

Wie auch bei der nur teilweisen Systemverschlüsselung sehe ich bei der Datenträger-Verschlüsselung vorallem das Problem, dass temporäre Kopien deiner Dokumente bestehen könnten, sobald du auf sie zugegriffen hast.

Ja, genau. Und deshalb: Alles dichtmachen.

Außerdem könnte ich wohl auch nicht mehr mit KODI+Raspberry-Pi auf all meine Daten zugreifen, wenn ich eine ext.Festplatte oder einen UBS-Stick verschlüsseln würde, oder? Möglicherweise nur teilweise verschlüsseln (versch.Partitionen anlegen)?

Doch, klar. Das muss halt zur Laufzeit entschlüsselt werden, wie auf jedem anderen System auch. Im einfachsten Fall loggst du dich über SSH ein und entsperrst die Platte. Ich habe das bei mir so gelöst wie oben beschrieben: Weitere Platten werden einfach mitentschlüsselt.

Ich habe zur Zeit bswp. nur einen alten Netbook mit Intel-Atom (N450),1GB RAM. Ich frage mich, ob eine Systemverschlüsselung da das System stark beeinflussen würde/der Computer sehr viel an Leistung einbußen würde?

Hier sind solche Benchmarks, die mir als Laie aber nicht viel sagen.

Ich habe lange Zeit auf einem SL9300 mit 1,6Ghz gearbeitet. Der war schon vollkommen ausreichend, hat also in dem von dir genannten Benchmark so um die 100MB/sec geschafft. Wie du in der Tabelle siehst, sind da viele Einträge rot markiert. Entsprechende Prozessoren bilden die AES-NI direkt in Hardware ab. Einfach gesagt: Wenn du einem Programm sagst: "Rechne 6*6" und dein Prozessor kann aber nur "+" rechnen, dann wird das ein Compiler für diesen Prozessor in "6+6+6+6+6+6" übersetzen. Der Prozessor rechnet dann das aus und du bekommst 36 zurück. Das dauert aber länger als wenn er direkt 6*6 (also im Sinne der Multiplikation) rechnen könnte. Mit AES-NI ist es ähnlich. Für die AES-Verschlüsselung sind eben auch ganz spezifische Rechenschritte nötig, die bei Prozessoren ohne AES-NI auf elementare Befehle runtergebrochen werden müssen - und deren Ausführung dauert. Mit AES-NI reduzieren sich viele Prozessorinstruktionen auf einige wenige.

Da dein Prozessor nicht in der Liste ist, wäre es doch mal ganz interessant, wenn du das Benchmark auch mal ausühren würdest.

Würdet ihr beispielsweise nur eure finanziellen/beruflichen Dokumente schützen oder auch "uninteressante" Dinge wie eure private Schlager-Musiksammlung?

Alles. Immer. Das ist einfacher, weil man dann nicht mehr drüber nachdenken muss.

Bräuchte es eine starke CPU/Hardware, um jedes Mal auf seine Urlaubsfotos zugreifen zu können? Als externe Festplatten sind ja heute 500GB,1TB,2TB usw. recht verbreitet. Ich hatte mich vor einiger Zeit mal mit GnuPG ausprobiert und wenn ich mich richtig erinnere, dann kostete alleine die Ver- und Entschlüsselung einer einzelnen MP3-Datei recht viel CPU+Zeit (natürlich Hardware abhängig).

Wie hast du denn mit GnuPG verschlüsselt? In der Standardeinstellung komprimiert GnuPG automatisch mit dem zip-Algorithmus. Der frisst auch bei Prozessoren ohne AES-NI immer noch den Löwenanteil an CPU-Cycles. Hinzu kommt, dass sich mp3-Dateien nicht sinnvoll komprimieren lassen (sie sind schon komprimiert). Von daher hast du auch keinen Mehrwert durch die Kompression (der wäre ggf. wenn du etwas schnell auf 20% seiner Größe herunterdrücken und dann verschlüsseln würdest).

Wenn du für deine@emailadresse einen RSA-Schlüssel (oder sonst einen) hast, kannst du ja mal

gpg --compress-algo zip --encrypt --r deine@emailadresse.com -o meinemp3.nocompress.mp3 meinemp3.mp3

bzw.

gpg --compress-algo none --encrypt --r deine@emailadresse.com -o meinemp3.nocompress.mp3 meinemp3.mp3

Sehr interessant auch das System verschlüsseln/Entschlüsseln mit einem USB-Schlüssel

Denk' aber dran, dass der Schlüssel dann nicht in falsche Hände geraten darf.

Außerdem noch ein Nachtrag zu obigen erwähnten Risiko, dass Dokumente beim/nach dem Öffnen doch noch irgendwo zwischengespeichert worden sind, oder vielleicht sogar nur Tumbnails (die Tumbnails-Erstellung habe ich auf dem viel zu schwachen Netbook aus Ressourcengründen abgeschaltet). Das Wipen ( wipe ) von Daten habe ich auch mal ausprobiert und ich kann mir gar nicht vorstellen wie lange das bei mehreren Gigabytes brauchen würde - selbst mit der schnellen Nullen Überschreibungs-Methode! Nutzt irgendjemand wipe ab und an?

Ja, für einzelne Dateien, die ich mal ausnahmsweise auf einen unverschlüsselten USB-Stick geschrieben habe.

Ich habe sowohl meinen Desktop als auch meinen Laptop komplett verschlüsselt. Aus Bequemlichkeit habe ich auch die Entschlüsselung per USB-Schlüssel eingerichtet. Allerdings benutze ich auch regelmäßig die Passphrase, die mehr als 20 Zeichen umfasst - schon um sie in Erinnerung zu behalten.

Ich spiele regelmäßig Videos von einer komplett verschlüsselten Platte, und selbst über das Netzwerk laufen die Videos ruckelfrei auf meinem Laptop. Im Laptop steckt ein Dual AMD E2-2000 und im Desptop ein Quad AMD A8 5500. Mit halbwegs aktueller Hardware bremst die Verschlüsselung das System ncht merklich aus. Wobei, ein 8-Sekunden-Start ist mit Verschlüsselung wohl nicht zu machen (wenn ich da falsch liege, so korrigiert mich bitte.)

Wegen der unverschlüsselten Dateireste: Die Verschlüsselung des Systems sollte komplett sein, mit verschlüsseltem Swap, dann besteht, sobald das System ausgeschaltet ist, keine praktische Gefahr mehr, dass die verschlüsselten Daten von Dritten gelesen werden können. Wer jedoch Zugriff auf das laufende System nimmt, kann auch auf dessen Daten zugreifen.

Wenn Du tatsächlich mit dem Gedanken spielst, das System zu verschlüsseln, würde ich allerdings eher eine manuelle Verschlüsselung empfehlen. Bei der manuellen Verschlüsselung macht man sich mit den entsprechenden Mechanismen vertraut, die man spätestens dann nutzen muss, wenn das System nach einem Update oder einem Stromausfall nicht mehr starten will. Da zahlt es sich aus, wenn man weiß, wie eine Platte zu entschlüsseln und einzuhängen ist und wie man ein LVM an den Start bringt. Das ist alles nicht wirklich kompliziert, aber man muss erst einmal wissen, wie es geht.

Mensch super, danke für eure hilfreichen und interessant Antworten! Da habe ich einiges zum Nachdenken und zu lernen & zu verstehen. Das Wiki ist bei dem Thema ja auch schon sehr hilfreich und ausführlich.

Zu GnuPG: Habe einfach nur sowas immer mal wieder ausprobiert:

USER@computer:~/Schreibtisch$ gpg -c ubuntu.pdf
gpg: Schwierigkeiten mit dem Agenten - Agent-Ansteuerung wird abgeschaltet
USER@computer:~/Schreibtisch$        
USER@computer:~/Schreibtisch$ gpg -d ubuntu.pdf.gpg > test.pdf
gpg: CAST5 verschlüsselte Daten
gpg: Schwierigkeiten mit dem Agenten - Agent-Ansteuerung wird abgeschaltet
gpg: Verschlüsselt mit einer Passphrase
gpg: WARNUNG: Botschaft wurde nicht integritätsgeschützt (integrity protected)
USER@computer:~/Schreibtisch$  

Fand dabei vorallem interessant, dass ich beim Entschlüsseln der Datei nicht wieder den exakt selben Namen geben muss. Wie bereits erwähnt hilft beim übrig bleiben der Orginaldatei bzw. nach dem Entschlüsseln dann wieder nur wipe.

Ich glaube ich hatte ein bißchen falsche Vorstellungen vom Verschlüsseln, weil mir scheint jetzt, dass eine Datenträger-Verschlüsselung viel komfortabler und schneller geht als all seine Schlagerlieder MP3's in ein ZIP/RAR/GZ-Archiv zu tun und das Archiv dann mit GnuPG zu verschlüsseln.

Ich finde es ermutigend von euch zu hören, dass ihr alles verschlüsselt habt und damit anscheinend keine negativen Erfahrungen gemacht habt.

Zum Abspielen von Videos über den RaspberryPi: Mein Pi ist nicht ans Internet/Router angeschlossen, könnte ich die Externe Festplatte trotzdem freigeben/entschlüsseln lassen?

Soweit ich euch verstanden habe sollte ich eben einfach das ganze System oder auch externe Festplatten & USB-Sticks immer 'komplett' verschlüsseln und kann somit wohl die Teilweise Verschlüsselung (Nur Home Verzeichnis) vollständig ignorieren/ausblenden Daten verschluesseln (Abschnitt „Mit-LUKS-verschluesselte-home-Partition-automatisch-beim-Anmelden-einbinden“).

Also, wenn ich dass richtig verstande habe, dann 'müsste' ich gar nichts zwangsläufig wegen einer Verschlüsselung ein neues (L)ubuntu installieren und am Anfang die Verschlüsselung auswählen, sonder man kann jederzeit problemlos sein System verschlüsseln. Ich kann theoretisch also auch mein jetzigen Netbook mit seiner internen Festplatte (250GB) die 'voll' ist, verschlüsseln.

Wie würde ich jetzt beispielsweise vorgehen, wenn ich meine 1TB Festplatte verschlüsseln möchte?

Edit: System Komplett-Verschlüsselung geht wohl nur während einer Ubuntu-Neuinstallation.

Ich hätte ansonsten nämlich so gedacht, wie es im Wiki auch einmal gesagt wird: Alle Daten vom Netbook sichern (kopieren) und dann die Festplatte löschen/formatieren + mit Zufallszahlen überschreiben lassen (müsste wohl ausreichen und man muss nicht das viel ressourcen-fressendere/intensivere wipe benutzen) und ein neues Ubuntu mit Verschlüsselung installieren.

Vielleicht bin hier wieder etwas verwirrt, weil bei GnuPG brauche ich ja immer doppelten Speicherplatz zur Erstellung der verschlüsselten Datei. Wie gesagt, ich bin nicht der Hellste, aber vielleich kriege ja selbst ich die Verschlüsselung meiner Datenträger hin ☺

Es gibt so viele verschiedene Begriffe, Methoden und Wiki-Artikel (die stets gut geschrieben sind ☺ ), so dass ich durcheinander kommen kann. Hier ist beispielsweise die Rede von der Verschlüsselung mit der Alternate-CD, was angeblich anfängerfreundlicher sein soll..

Ich denke das ist eigentlich ein guter Überblick, den das Wiki gibt über Daten & Systemverschlüsselung.

Danke für eure Beiträg und entschuldigt, wenn meine Fragen oder Gedanken manchmal etwas springen oder es ihnen an Klarheit fehlt.

Ich verschlüssle selbst alles, außer gebrannte DVDs. Da sind z.B. Urlaubsfotos drauf.

Man muss sich bei aller Liebe zur Verschlüsselung auch ein wenig überlegen, was passiert, wenn man unerwartet den Löffel abgeben muss. Ein paar Sachen will man dann ja vielleicht doch unverschlüsselt hinterlassen.

Wie bereits erwähnt hilft beim übrig bleiben der Orginaldatei bzw. nach dem Entschlüsseln dann wieder nur wipe.

wipe darfst du gerne mit Augenwischerei übersetzen. Die Art und Weise wie wir mit Dateien arbeiten führt dazu daß im Dateisystem entsprechende Kopien hinterlassen werden (jedesmal wenn du im Office auf Speichern drückst). shred, wipe & Co entfernen höchstens den letzten dem Dateisystem bekannten Stand. Da gibts keine Garantien. Komplett verschlüsseln, oder freien Speicher komplett überschreiben bzw. bei SSD auf TRIM das die gleiche Funktion erfüllt. Ist halt nicht so praktikabel.

Ich finde es ermutigend von euch zu hören, dass ihr alles verschlüsselt habt und damit anscheinend keine negativen Erfahrungen gemacht habt.

Backups sind wichtig, bei der Verschlüsselung hängt alles an ein paar Bytes im LUKS-Header, geht das kaputt wars das. Und daß Menschen ihre Passwörter plötzlich vergessen obwohl seit Jahren jeden Tag eingetippt, das gabs auch schon.

Ja, dass man jederzeit, wirklich jederzeit den Löffel unerwartet abgeben könnte - daran denke ich auch täglich 😀 insofern wäre doch die USB-Stick Schlüssel Variante nicht schlecht. Nachdem Motto "Familie, hier (SD-Karte/USB-Stick) ist der Schlüssel für meinen Computer oder unser Familien-Festplatten-Archiv."

Arbeitet usbCrypt auch mit LUKS? Oder nutzt das einfach nur dm_crypt? Was haltet ihr von usbCrypt? Für mich als Anfänger wohl ganz praktisch (und scheint auch sicher zu sein, Quellcode liegt offen vor, hat da schonmal jdm reingesehen?).

Dies funktioniert bei allen Debian oder Ubuntu-Systemen mit der grafischen Oberfläche Gnome oder KDE, bei denen UsbCryptFormat und/oder bei Debian oder Ubuntu verfügbare Paket cryptsetup installiert ist.

Wie sieht es mit Windows aus? Könnt ihr eure verschlüsselten Festplatten ohne weiteres bei einem WindowsSystem eibinden und darauf zugreifen? In Linux scheint das ja wirklich einfach und schnell zu gehen mti einer einzigen Passworteingabe.

Ihr habt bestimmt vor einer Verschlüsselung den Datenträger mit Zufallszahlen oder Nullen überschrieben, oder? Wie lange hat das bei euch im Durchschnitt gedauert? Habe ja einen alten Netbook mit IntelAtom.

Bei dem hier dauerte das mit einer 1,5 TB Festplatte 64 Stunden lang!

lubuntu-lulu schrieb:

Wie sieht es mit Windows aus? Könnt ihr eure verschlüsselten Festplatten ohne weiteres bei einem WindowsSystem eibinden und darauf zugreifen? In Linux scheint das ja wirklich einfach und schnell zu gehen mti einer einzigen Passworteingabe.

Wer benutzt denn Windows? 😀 Im Ernst: Ich will das gar nicht. Festplatten sind bei mir auch fest installiert. Ich habe keinen Bedarf, Platten rumzutragen. Die sitzen entweder in meinem Laptop oder in meinem Server. Auf beiden Geräten kann ich die Daten für Andere bereitstellen, ohne dass ich die Platten nun direkt an dritte Rechner anschließen müsste. Und bedenke: Wenn du dein Kennwort an einem Rechner eingibst, über den du keine Kontrolle hast, dann hast du auch keine Kontrolle mehr über dein Kennwort. Da läuft dann ein Keylogger und dein Passwort ist weg. Nein, wenn man Platten verschlüsselt, dann entschlüsselt man sie auch nur noch am eigenen Rechner. Sonst kann man sich das ganze ja weitgehend sparen. Es sei denn, es geht wirklich nur um Transportsicherheit.

lubuntu-lulu schrieb:

Wie sieht es mit Windows aus? Könnt ihr eure verschlüsselten Festplatten ohne weiteres bei einem WindowsSystem eibinden und darauf zugreifen?

Windows kann kein LUKS. Und das will ich auch gar nicht. Wenn ich Daten für Windows zur VErfügung stellen möchte, werden diese unter Linux auf die Windows-Partition kopiert, die man ja dort problemlos einbinden kann. Davon abgesehen: Selbst wenn Windows die Platten entschlüsseln könnte, würde es ja mit den Linux-Dateisystemen nichts anfangen können.

Ihr habt bestimmt vor einer Verschlüsselung den Datenträger mit Zufallszahlen oder Nullen überschrieben, oder?

Nö, wie in der Anleitung zu LUKS wurden lediglich die ersten paar Byte der Partition überschrieben, weil von LUKS keine Daten abgelegt werden, also Reste von alten Daten zu finden sein könnten. Der LUKS-Container wird ja bei der Initialisierung mit Zufallsdaten überschrieben, das genügt völlig.

Ja, ihr habe ja Recht. Ich nutze ja auch nie mehr Windows.

Kann ich den USBcrypt bedenkenlos benutzen? Ist ja ein DEB-Paket. Das Programm stamm soweit ich weiß von 2012.

Was soll ich noch groß ergänzen? Ich verschlüssele auch alles mit LUKS und denke auch an den Löffel, der abgegeben werden muss. 😉

• Unter Win gab es mal eine Software zum Öffnen (siehe Wikipedia), die nicht aktiv weiterentwickelt wird - Dateisystemtools sowieso (siehe Wiki). Braucht man aber nicht, wenn man auf Sicherheit Wert legt: Wenn,dann boote ich sowieso meinen eigenen Stick am fremden Rechner, ggf. auf sichtbare Hardware-Keylogger checken.

• Du musst dir eigentlich nur das Stichwort luksOpen merken, was eine LUKS-Option ist und dort erklärt wird. Das LVM ist unter Ubuntu eine automatische Sache. Unter Ubuntu kommt aber sowieso eine Passwortabfrage nach dem Anstecken/ Anklicken.

• Es läuft ohne die AES-Erweiterung auf meinem Rechner und Netbook, Null Probleme - am Notebook habe ich noch nicht nachgeguckt.

• Wipen auf USB-Stick kann ebenfalls schiefgehen, wenn plötzlich nur neue Blöcke gewipt werden und die alten nur als löschbar/ trimbar markiert werden (Sticks sind aber wegen USB unter Linux nicht trimmbar, das gibt einen ioctl-Fehler). Gewöhnlich nimmt man dafür auch nur Basistools wie dd mit bs=4k,conv=noerror damit es auch schnell & bei Fehlern durchgehend läuft.

• Es wird nicht automatisch überschrieben, aber so geheim waren meine Daten vorher nicht und nun ist die Platte sowieso voll, also liegen da auch keine alten Fragmente mehr rum. Neue werden sofort verschlüsselt, bevor was abgelegt wird. Immer, wenn ich loslegen will, hab ich dann nicht noch Zeit/ Lust, noch 24-48h oder so rumzuwipen. 😉 Aber verschlüsseln darf ich ja trotzdem, muss ja nicht alles offen liegen bleiben...

• luksHeaderBackup sichert LUKS-Header - hab ich auf meinen rotierenden Sicherungsplatten gegenseitig gesichert, da es weniger Aufwand ist, als die anderen Platten an anderen Orten zu organisieren und alles neu kopieren zu müssen, wenn mal was ist.

• Der Sorglos-Fraktion hab ich ausgerechnet ein Sticksystem NICHT verschlüsselt eingerichtet, damit auch alles ohne Login recht simpel und leicht rettbar ist - ist denen sowieso alles egal, Hauptsache 100% Komfort. Also alles möglichst voreingerichtet, ihren Benutzer, Autologin, keine Verschlüsselung und so weiter.

• Ich gehe stets manuell nach System verschlüsseln vor. Für Einsteiger mag die automatische Variante reichen + Kenntnis von luksOpen, falls die Automatismen versagen oder ein Raspberry ohne GUI es mal benötigt. Im Grunde brauchst du dann auch kein Tool, aber ich glaube, eine Linuxzeitschrift hatte es mal getestet - es gibt zwar die Laufwerksverwaltung, aber sie kann wohl nur bei 12.04 Containerdateien anlegen.

• Ein weiterer Schutz ist: Man lässt sich nicht so leicht Trojaner unterjubeln, nur /boot ist noch unverschlüsselt. Und bei PC-BSD Unix ist auch das bei ebenfalls Grub verschlüsselt voreingestellt, aber nach der ersten Fehleingabe hängt man dort bis Strom-Aus fest. Man kann aber eine automatische Checksumme o.ä. einrichten, die bei Änderungen Alarm schlägt und Kernelupdates berücksichtigt.

  • Ich habe da was eigenes, aber wenn ich es online stellen würde, was ich gern täte, dann würde das entweder sofort als Krücke zerfetzt (nur für mich ist es aber super optimal) oder sofort von der NSA unterwandert und meine Kernel in /boot so ausgetauscht, dass z.B. mein Checkmechanismus ausgehebelt würde. Da reicht es schon, bestimmte Funktionen rauszupatchen, also schlicht nicht mit einzukompilieren. Aber daran schummel ich mich durch Security_by_Obscurity vorbei, da ich offenlasse, ob ich eine Checksumme prüfe oder nicht und was ich genau wie prüfe... Wichtig ist hier, dass sich jeder selber was eignes ausdenkt! Oder halt mit reduzierter Sicherheit lebt, zumindest gegenüber der NSA - und den Deal kann und will ich als Top Staatsfeind nicht eingehen. 😈

  • Es gibt aber Anleitungen, wie man auch /boot in Grub verschlüsselt: Offenbar reicht dafür laut http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ in grub GRUB_ENABLE_CRYPTODISK=y sowie als Bootoption GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda1:lvm", falls Teil des LVM, offensichtlich. Der Rest sieht mir gleich aus, hab es nur überflogen. Falls das mal jemand testen mag - dann wäre das eine super Ergänzung im Wiki. Dann ziehe ich irgendwann vielleicht doch mal nach.

Also, im Grunde habe ich nichts zu ergänzen gehabt. 😇

LUKS über alles 😉 ⇒ http://speefak.spdns.de/oss_lifestyle/lvm-installation-auf-luks-basis-und-manueller-partitionierung/

Das meiste wurde schon gesagt.

NAS und Server verschlüssle ich nicht, da die Systeme 24/7 laufen und somit die Gefahr über online Kompromittierung größer ist als durch realen Verlust, pers. Daten liegen auf den o.g. Systemen auch nur als verschlüsselter LUKS Container vor, sprich alles relevante ist verschlüsselt.

"Das Prinzip security through obscurity ist sehr umstritten. So rät das National Institute of Standards and Technology (NIST), Sicherheitssysteme nicht auf dieser Basis zu konzipieren: “System security should not depend on the secrecy of the implementation or its components.”^[2]"

Das N(M)IST das nicht gefällt ist klar, frage mich nur warum Geheimdienste das Land dann sicherer machen sollen ... ?

"E-Postbrief In einem Interview mit dem Magazin CIO gab der Projektleiter des E-Postbriefs, Georg Rau, an: „Grundsätzlich gilt, dass wir hier bei uns keine Sicherheitslücke sehen. Mehr will ich nicht sagen. Denn ein wesentlicher Aspekt unseres Sicherheitskonzeptes ist: Wir reden in der Öffentlichkeit nicht darüber. Das ist Teil des Sicherheitskonzeptes.“^[7]"

Oha dann ist der Epostbrief in den Augen von MIST aber ganz dolle unsicher ....

Mit welchem Format formatiert ihr eure Externen Festplatten und USB-Sticks immer? Ich habe bisher immer ext.Festplatten mit NTFS und Sticks mit FAT-32 formatiert.

Ich nutze ja nur linux und Familie manche vlt. Windows.

Festplatten mit ext4?

lionlizard schrieb:

Wobei, ein 8-Sekunden-Start ist mit Verschlüsselung wohl nicht zu machen (wenn ich da falsch liege, so korrigiert mich bitte.)

Kommt drauf an, wie lange man braucht, um ein Hochsicherheitspasswort wie # (weil so schön gelegen) einzugeben und danach Enter zu drücken. 😈

lubuntu-lulu schrieb:

Mit welchem Format formatiert ihr eure Externen Festplatten und USB-Sticks immer?

Vorne mit einer primären 100KB-FAT32-Partition, dahinter mit einer ext4-Partition für den Rest.

Hat aber mit der Ursprungsfrage eigentlich™ nichts mehr zu tun.