Fragen zu Festplatten-Verschlüsselung

Rock Lobster

Member
Registriert
9 Mai 2007
Beiträge
885
Hi,

ich habe bislang keine Erfahrung mit dem Verschluesseln von Festplatten. Ich nutze Linux und werde auf mein kommendes ThinkPad auch wieder Linux installieren, und bei der Installation habe ich ja die Gelegenheit, mich fuer Verschluesselung zu entscheiden oder es bleiben zu lassen. Damit ich beim naechsten mal nicht wieder "Nein" waehle, stelle ich die Fragen am besten jetzt, wo ich noch kein neues ThinkPad bestellt habe :D

Und zwar im wesentlichen: Gibt es irgendwelche Nachteile bei eingeschalteter Verschluesselung?

Genauer:
- Gibt es irgendeinen Performance-Overhead und wenn ja, wie stark faellt der ins Gewicht?
- Macht das das Betriebssystem oder macht das sogar die Festplatte selbst (ueber den Controller oder wie auch immer)?
- Was passiert, wenn ich auf eine verschluesselte Festplatte von einem anderen Linux aus zugreifen moechte (z.B. ein vom USB-Stick gebootetes Linux), werde ich dann einfach nach einem Passwort gefragt und danach mountet er die Festplatte wie gewohnt?
- Ist das ueberhaupt einfach nur ein Passwort oder wird da mit irgendwelchen Public/Private-Key-Paaren herumhantiert?
- Gibt es sonst irgendetwas, was ich wissen sollte, bevor ich mich dazu entschliesse, meine Festplatte kuenftig zu verschluesseln?

schonmal vielen Dank :thumbup:
 
-Performance-Overhead gibt es immer. Wenn du einen neueren CPU mit AES-NI hast, und AES als Verschlüsselung auswählst, fällt es weniger ins Gewicht.
-Im Falle dass du es beim Install von Linux auswählst, macht es der Kernel.
-Ich *glaube* du kannst drauf zugreifen, musst die Platte aber korrekt einbinden/mounten.
-Es kann einfach nur ein Passwort sein.
-Lass 'cryptsetup benchmark' laufen und schau dir an welche Methode bei dir performant ist.
 
Zuletzt bearbeitet:
Hi,

ich habe bislang keine Erfahrung mit dem Verschluesseln von Festplatten. Ich nutze Linux und werde auf mein kommendes ThinkPad auch wieder Linux installieren, und bei der Installation habe ich ja die Gelegenheit, mich fuer Verschluesselung zu entscheiden oder es bleiben zu lassen. Damit ich beim naechsten mal nicht wieder "Nein" waehle, stelle ich die Fragen am besten jetzt, wo ich noch kein neues ThinkPad bestellt habe :D

Und zwar im wesentlichen: Gibt es irgendwelche Nachteile bei eingeschalteter Verschluesselung?

Genauer:
- Gibt es irgendeinen Performance-Overhead und wenn ja, wie stark faellt der ins Gewicht?
- Macht das das Betriebssystem oder macht das sogar die Festplatte selbst (ueber den Controller oder wie auch immer)?
- Was passiert, wenn ich auf eine verschluesselte Festplatte von einem anderen Linux aus zugreifen moechte (z.B. ein vom USB-Stick gebootetes Linux), werde ich dann einfach nach einem Passwort gefragt und danach mountet er die Festplatte wie gewohnt?
- Ist das ueberhaupt einfach nur ein Passwort oder wird da mit irgendwelchen Public/Private-Key-Paaren herumhantiert?
- Gibt es sonst irgendetwas, was ich wissen sollte, bevor ich mich dazu entschliesse, meine Festplatte kuenftig zu verschluesseln?

schonmal vielen Dank :thumbup:

Genauer:
1 Overhead gibt es kann man auf modernen Thinkpads aber getrost vergessen
2 LUKS macht das in Software (vorzuziehen)
3 Jein aber man kann mit Passwort und ein paar Befehlen, die ich nicht alle präsent habe drauf zugreifen
4 Das weiß ich nicht ~ dein Passwort schaltet das ganze frei, also nicht Publik/Private
5 Passwort nicht vergessen! :thumbsup: und nicht wieder nein wählen beim Installieren ...

Hier mein Debian:

Code:
nvme0n1             259:0    0   477G  0 disk  
├─nvme0n1p1         259:1    0   512M  0 part  /boot/efi
├─nvme0n1p2         259:2    0   244M  0 part  /boot
└─nvme0n1p3         259:3    0 476.2G  0 part  
  └─nvme0n1p3_crypt 254:0    0 476.2G  0 crypt 
    ├─mb--vg-root   254:1    0 468.4G  0 lvm   /
    └─mb--vg-swap_1 254:2    0   7.8G  0 lvm   [SWAP]

root & swap sind in einem verschlüsseltem Vol.
 
Zuletzt bearbeitet:
- Die Ver-/Entschlüsselung beim Schreiben und Lesen belastet den Prozessor, bei modernen Prozessoren merkt man davon nichts, erst recht nicht, wenn die AES-NI beherrschen und auch AES zur Verschlüsselung verwendet wird (macht LUKS standardmässig)
- Das macht das Betriebssystem bzw. der Kernel, und zwar vollständig transparent. Das heisst, die Verschlüsselungsschicht liegt zwischen Dateisystem und physikalischem Datenträger (/dev/sdX), es wird ein virtueller Datenträger (/dev/mapper/<name>) erzeugt, der wir jeder Datenträger verwendet und formatiert werden kann. Andere transparente Schichten wie RAID (mdadm) oder Komprimierung oder noch eine Verschlüsselungschicht für Paranoiker können in beliebiger Reihenfolge damit kombiniert/gestapelt werden.
- Das kommt darauf an. Wenn auf dem "andere" Linux ein DE wie Gnome oder KDE läuft, kannst Du die Partition wie jede unverschlüsselte auch im Dateimanager einhängen. Du wirst bei verschlüsselten Partitionen dann halt einfach nur nach dem Passwort gefragt bevor sie eingehängt werden. Hast Du "nur" eine Kommandozeile, dann sind es zwei einfache Befehle: cryptsetup luksOpen /dev/sdXY <name>(X=Platte, Y=Partition, z.B. sda4), mount /dev/mapper/<name> <mountpoint>. Fertig.
- Es ist ein Passwort. Der eigentliche AES Schlüssel ist im LUKS Header gespeichert (den Header kannst Du mit cryptsetup luksDump /dev/sdXY anschauen) und mit dem Passwort verschlüsselt. Du kannst bis zu 8 verschiedene Passwörter festlegen mit denen die Platte entsperrt werden kann (wenn es z.B. mehrere Personen benutzen sollen). Man kann auch Keyfiles verwenden, wenn z.B. weitere Partitionen beim Booten automatisch entsperrt werden sollen.
- Wie schon gesagt wurde, das Passwort nicht vergessen... Auch die Swap Partition, falls vorhanden, sollte verschlüsselt sein, der Installer sollte das aber automatisch so einrichten dass sie auch mit entsperrt wird. Falls Du für /home/<user> eigene Partitionen hast, können die so eingerichtet werden, dass sie erst beim Login mit dem Benutzerpasswort ensperrt werden, sehr nützlich, falls mehrere Personan das Gerät verwenden.

Ansonsten, gerade bei mobilen Geräten ist Verschlüsselung eigentlich ein Muss. Heutzutage sollten die Linux Installer das sauber einrichten können ohne dass man manuell eingreifen muss.

PS: "Rock Lobster", einer meiner Lieblingssongs ;)
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben