ubuntuusers.de

LUKS: "Merkwürdige Optimale-Datenübertragungs-Größe für Datengerät wird ignoriert."

Status: Ungelöst | Ubuntu-Version: Ubuntu MATE 22.04 (Jammy Jellyfish)
Antworten |

lubuntu-lulu

Avatar von lubuntu-lulu

Anmeldungsdatum:
7. September 2014

Beiträge: Zähle...

Moin,

Beim Erstellen eines Datenträgers mit LUKS Verschlüsselung bekam ich das erste Mal folgende Meldung:

1
2
3
4
5
6
sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 -y /dev/sda
…
…
Passphrase bestätigen: 

Merkwürdige Optimale-Datenübertragungs-Größe für Datengerät (3xxxxxx Bytes) wird ignoriert.

Ist das ein Sicherheitsproblem? Ich verstehe das nicht so ganz. Habe nur das gefunden: https://unix.stackexchange.com/questions/421587/dmsetup-luksformat-creating-an-alignment-inconsistency

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7744

lubuntu-lulu schrieb:

Ist das ein Sicherheitsproblem?

fdisk -l wird dir neben der Sektorgröße auch I/O Größe (minimum/optimal) anzeigen. Manche Geräte geben da leider völlig hanebüchene Werte an (oder der Kernel unterstützt es falsch, je nachdem). Und die ignoriert man dann besser.

Ein Sicherheitsproblem entsteht daraus nicht, höchstens ein Optimierungsproblem oder Alignmentproblem. Guckst du im luksDump dass da nichts unerwartetes schiefgegangen ist.

Dein Problem ist aber ein ganz anderes: du hast keine Partitionstabelle verwendet. LUKS gehört auf sdx1 nicht auf sdx... wenn dir da jemals irgendwas ungefragt eine Partitionstabelle anlegt, dann ist das LUKS futsch.

lubuntu-lulu

(Themenstarter)
Avatar von lubuntu-lulu

Anmeldungsdatum:
7. September 2014

Beiträge: 542

frostschutz schrieb:

lubuntu-lulu schrieb:

Ist das ein Sicherheitsproblem?

fdisk -l wird dir neben der Sektorgröße auch I/O Größe (minimum/optimal) anzeigen. Manche Geräte geben da leider völlig hanebüchene Werte an (oder der Kernel unterstützt es falsch, je nachdem). Und die ignoriert man dann besser.

Ein Sicherheitsproblem entsteht daraus nicht, höchstens ein Optimierungsproblem oder Alignmentproblem. Guckst du im luksDump dass da nichts unerwartetes schiefgegangen ist.

Dein Problem ist aber ein ganz anderes: du hast keine Partitionstabelle verwendet. LUKS gehört auf sdx1 nicht auf sdx... wenn dir da jemals irgendwas ungefragt eine Partitionstabelle anlegt, dann ist das LUKS futsch.

Partitionstabelle hatte ich vorher per GParted GUI erstellt (mbr). Ich habe da seit Jahren eigentlich nur das wiki befolgt, Luks ist es ja egal ob es eine Partition, Container oder ganze disk ist - soweit ich das verstanden habe.

https://unix.stackexchange.com/questions/558481/encrypting-whole-disk-with-luks-instead-of-one-big-encrypted-partition#558489

The cryptsetup FAQ mentions whole-disk encryption using LUKS. Basically, cryptsetup doesn’t care what the LUKS device is, partition, disk, or loop device, so you can use whichever is appropriate.

sudo cryptsetup -v -y luksFormat /dev/sda will create a LUKS container using all of /dev/sda.

Section 2.2 of the FAQ recommends this for external disks:

Fully encrypted raw block device: For this, put LUKS on the raw device (e.g. /dev/sdb) and put a filesystem into the LUKS container, no partitioning whatsoever involved. This is very suitable for things like external USB disks used for backups or offline data-storage.

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7744

LUKS ist das egal, ja. LUKS ist es aber auch egal, wenn du deine Daten verlierst...

lubuntu-lulu

(Themenstarter)
Avatar von lubuntu-lulu

Anmeldungsdatum:
7. September 2014

Beiträge: 542

frostschutz schrieb:

LUKS ist das egal, ja. LUKS ist es aber auch egal, wenn du deine Daten verlierst...

Warum widersprechen du und Luks Dokumentation sich dann hier? Seit Jahren nutze ich luksFormat für gesamte Datenträger, nie nur für Partitionen. Warum sollte es zum Datenverlust kommen? Welches Programm sollte da was ändern ohne mein Zutun?

Zoner

Anmeldungsdatum:
30. August 2019

Beiträge: 121

Vermutlich meint er nur, dass es ein unnötiges zusätzliches Risiko ist. Denn im Prinzip ist es schon in Ordnung so.

Wenn du aber z.B. einem angebundenen Datenträger eine neue Partitionstabelle verpasst und dabei ausversehen die falsche Platte angibst, ist sofort der LUKS-Header zerstört und damit alle daran hängenden Daten futsch (in dem Fall die gesamte Platte). Und so ein Fehler passiert schneller als man denkt. Hättest du ihn auf SDX1 statt auf SDX eingerichtet, wäre er in diesem Fall aber höchstwarscheinlich erhalten geblieben und man könnte die Daten noch retten, nachdem man den Fehler rechtzeitig bemerkt hat.

Denn die Besonderheit an verschlüsselten Datenträgern ist, ist der Header futsch, lassen sich sämtliche mit ihm verschlüsselten Daten mit keiner Software der Welt mehr wiederherstellen. Im Gegensatz zu unverschlüsselten Datenträgern, wo fast kaputt gehen kann was will, irgendwas lässt sich immer retten. Deswegen sollte der LUKS-Header immer sensibel behandelt werden. Im besten Falle macht man Backups von ihm, dann kann man ihn auch sorglos direkt auf SDX einrichten. Den Header backuppen sollte man aber generell immer. Mir ist auch schonmal einer abgeschmiert wo ich nicht nachvollziehen konnte, wie das geschehen ist.

Antworten |