dirtymac hat geschrieben:
Eigentlich dachte ich nicht an Hardware Verschlüsselung.
Als Beispiel: Bei SGE wird im MBR der Kernel abgelegt, welcher eine Authentifizierung vornimmt und erst danach die Partitionen entschlüsselt.
Warum soll Linux/Ubuntu so eine Funtkion nicht leisten, wäre doch genial?
Dann hab ich Dich wohl falsch verstanden. Ich hab grad mal nach SGE gegoogelt. Du möchtest also Verschlüsselung über eine Software, die dennoch unterhalb der Betriebssysteme ansetzt, und gleich mit mehreren Systemen funktioniert? Da muß ich passen, bin aber kein Experte auf dem Gebiet.
dirtymac hat geschrieben:
Wie im Wiki beschrieben lässt sich eine Partition nicht im Nachhinein verschlüsseln. Eine Neuinstallation würde für mich eine Menge Arbeit bedeuten. Außerdem stellt sich für mich die Frage ob der Linux Kernel von einem verschlüsselten Dateisystem booten kann, weil doch erst bei beim einlesen der fstab die Partition gemountet wird. ❓
Das ist teilweise richtig. Es funktioniert so: Man könnte den Kernel samt initrd (sozusagen ein Mini-Dateisystem mit allem Nötigen für den Start) auf eine ausgelagerte /boot-Partition packen. Dann könntest D7 auch die Root-Partition verschlüsseln. Welchen Sicherheitsvorteil dies gegenüber einer Verschlüsselung von /home, /tmp, /var und swap bringt, ist mir nicht klar - die Root-Partition enthält ja keine sensiblen Daten.
Eine nachträgliche Verschlüsselung soll angeblich möglich sein, hört sich für mich aber ziemlich abenteuerlich an.Beispiel mit der Partition /dev/hda5:
# cryptsetup create hda5-encrypted /dev/hda5
# dd if=/dev/hda5 of=/dev/mapper/hda5-encrypted
😲
Hab das nie getestet. Wenn zwischendurch was passiert, sind die Daten natürlich verloren. Auf die Weise soll man übrigens sogar den Schlüssel ändern können (einfach dd mit zwei Crypto-Devices). Die Partition darf nicht gemountet sein. Es funktioniert also normalerweise (zumindest für /tmp und /var) nur von einer Live-CD aus. Natürlich wäre es einfacher, eine neue Partition zu erstellen, und die Daten von der alten Partition auf dem üblichen Weg auf die neue Partition zu kopieren, sofern Du genug Platz für Partitionsschaufeleien hättest.
Ginge es Dir nur um den Schutz der Daten auf dem Notebook, würde ich die nachträgliche Verschlüsselung der genannten Partitionen empfehlen ( ❗ Backup machen ❗ ). Dann bräuchtest Du eben eine eigene Verschlüsselung unter Windows. Ich nehme an, die NTFS-Daten sollen auch von Linux gelesen werden? Sonst wäre die gemeinsame Verschlüsselung doch vermutlich überflüssig. Tut mir leid, dafür fällt mir keine Lösung ein. Spezialisten, bitte melden...