ubuntuusers.de

Hallo,

ich möchte meine neue externe USB Festplatte verschlüsseln und wollte eigentlich nur mal nachfragen, ob mein Vorhaben soweit richtig ist. Zuerst musste ich für die Platte eine GPT anlegen und dann habe ich sie auf ext4 formatiert. Um jetzt die Platte erst einmal mit Zufallszahlen zu beschreiben würde ich meine Platte:

lsblk
NAME        MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
.
.
.
.
sdc           8:32   0   3,7T  0 disk  
└─sdc1        8:33   0   3,7T  0 part  /media/marc/24ed2bee-0a5e-4610-a8e5-e5b47

sudo dd if=/dev/urandom bs=1M count=8 of=sdc1

überschreiben. Ich habe nur das Gefühl, dass würde ewig dauern. Gibt es eine Möglichkeit das zu beschleunigen ?

Ansonsten wie üblich

sudo cryptsetup luksFormat -c twofish-xts-plain64 -s 512 -h sha512 -y /dev/sdc1 

durchführen.

Soweit so gut. Ist das soweit in Ordnung oder würdet ihr bei einer externe Platte grundsätzlich etwas anders machen ?

Um jetzt die Platte erst einmal mit Zufallszahlen zu beschreiben

Warum sollte man sowas bei einer neuen Platte tun??

Ok. Genauer. Die Platte wird "neu" als externe betreiben war aber schon zuvor im Gebrauch.

Schau Dir am Besten mal shred an.

malo66 schrieb:

[…] Zuerst musste ich für die Platte eine GPT anlegen

Das ist nur erforderlich, wenn man mehr als eine Partition anlegen möchte. Es ist aber üblich, es zu tun.

und dann habe ich sie auf ext4 formatiert. Um jetzt die Platte erst einmal mit Zufallszahlen zu beschreiben

Das ist die falsche Reihenfolge. Überschreiben zerstört die Formatierung.

würde ich meine Platte […]

sudo dd if=/dev/urandom bs=1M count=8 of=sdc1

überschreiben.

Das ist sinnlos. Wenn schon, dann müsste die gesamte Partition überschrieben werden und nicht nur die ersten 8 MiB. Wenn Du das wirklich willst, lasse den markierten Parameter weg.

Ich habe nur das Gefühl, dass würde ewig dauern.

Die Dauer hängt ab von der Art der Hardware, dem konkreten Anschluss der Platte an den Rechner und der Geschwindigkeit, mit der Dein Rechner (Pseudo-) Zufallszahlen erzeugen kann. Der letzte Punkt hängt wiederum davon ab, wie schnell der Rechner bei der Entropie-Erzeugung elektrische Energie in Abwärme umwandelt.

Gibt es eine Möglichkeit das zu beschleunigen ?

Verwendung von Nullen statt Zufallszahlen überschreibt natürlich schneller. Damit löschst Du aber nur die alten Daten und erreichst Du nicht den Zweck des Vorhabens: Es soll nicht mehr entscheidbar sein, ob ein Sektor (bzw. Dateisystem-Block) verschlüsselte Nutzdaten enthält oder nicht.

Ich erreiche bei solchen Aktionen je nach Hardware Geschwindigkeiten von 80 - 250 GB/h. Bei Deiner 4TB-Platte sollte es also die Ewigkeit ca. 40h dauern.

Ja, wahrscheinlich ist das überschreiben mit Zufallszahlen etwas zu viel des Guten.

Danke für die Info!

Jetzt muss ich doch nochmal nachfragen. Nach der Verschlüsselung

 sudo cryptsetup luksFormat -c twofish-xts-plain64 -s 512 -h sha512 -y /dev/sdc1

und der Zuweisung an ein virtuelles Gerät:

sudo cryptsetup luksOpen /dev/sdc1 WD-crypt

wollte ich jetzt formatieren und bekomme dabei folgenden Hinweis:

In /dev/mapper/WD-crypt wurde eine atari-Partitionstabelle gefunden

Da ich zuvor ja ein GTP angelegt habe, bin ich etwas verwirrt.

Schlussendlich sieht es jetzt so aus. Keine Ahnung was es mit der atari-Partitionstablle auf sich hat.

 lsblk
NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
.
.
.
sdc                                             8:32   0   3,7T  0 disk  
└─sdc1                                          8:33   0   3,7T  0 part  
  └─luks-d8284a1e-0fa8-503c-89c6-38099bec7c64 253:5    0   3,7T  0 crypt /media/m.../Externe

und so.

sudo blkid
...
..
.
/dev/sdc1: UUID="d8284a1e-0fa8-503c-89c6-38099bec7c64" TYPE="crypto_LUKS" PTTYPE="atari" PARTUUID="ebcba2eb-7aff-442a-8ad1-4572fca60453"
/dev/mapper/luks-d8284a1e-0fa8-503c-89c6-38099bec7c64: LABEL="Externe" UUID="cb75e1ef-c6ba-410a-ae55-5dae794a32bd" TYPE="ext4"

malo66 schrieb:

Ja, wahrscheinlich ist das überschreiben mit Zufallszahlen etwas zu viel des Guten.

Bei SSDs ist es relativ sinnlos - wenn man TRIM/discard benutzt, werden die Zufallsdaten schlichtweg verworfen.

Bei HDDs kann man es machen. Muss man nur einmal tun (solange man die Festplatte nie unverschlüsselt nutzt) und hat sonst keine Nachteile.

Aber wenn auf der HDD noch nie unverschlüsselte Daten drauf waren, muss man es auch nicht unbedingt.

Bei dd kannst du noch status=progress dazunehmen, dann siehst du wie weit es ist.

-c twofish-xts-plain64

Hast du einen speziellen Grund für diesen Cipher? Wird dich jedenfalls was an Performanz kosten.

# cryptsetup benchmark
[...]
        aes-xts        256b      2542.1 MiB/s      2532.0 MiB/s
    serpent-xts        256b       587.9 MiB/s       560.8 MiB/s
    twofish-xts        256b       359.2 MiB/s       365.7 MiB/s

Keine Ahnung was es mit der atari-Partitionstablle auf sich hat.

Wie sieht das z.B. in parted --list aus?

Danke für die Info mit dem Benchmark. War mir so noch nicht bewusst, dass die Performance so viel geringer ist. Vielleicht ändere ich das einfach mal. Ansonsten scheint

sudo parted --list 

Modell: asmedia ASM1153E (scsi)
Festplatte  /dev/sdc:  4001GB
Sektorgröße (logisch/physisch): 512B/4096B
Partitionstabelle: gpt
Disk-Flags: 

Nummer  Anfang  Ende    Größe   Dateisystem  Name  Flags
 1      1049kB  4001GB  4001GB


Modell: Linux device-mapper (crypt) (dm)
Festplatte  /dev/mapper/luks-d7284e1e-0fa8-493c-89c6-38099bec7c62:  4001GB
Sektorgröße (logisch/physisch): 512B/4096B
Partitionstabelle: loop
Disk-Flags: 

Nummer  Anfang  Ende    Größe   Dateisystem  Flags
 1      0,00B   4001GB  4001GB  ext4

die Partitionstabelle zu stimmen. Was stimmt nun ?

Du kannst explizit einen Partitionstyp setzen ( z.B. parted /dev/sdc set 1 lvm on )

Ansonsten kann das einfach eine Fehlinterpretation von Zufallsdaten sein. Gerade die ganz alten Formate hatten keine guten Identifikationsmerkmale, zwei Zufallsbytes und es ist irgendwas komisches.

Kannst du aber einfach ignorieren