Frage zu Vollverschlüsselung von Ubuntu

[chris1308]

Hallo,

ich bin doch langsam wirklich auf Linux umgestiegen. Bis auf das Win7 auf dem T420 ist alles mit Linux Mint XFCE ausgestattet.
Jetzt muss ich im Sommer mit einer Firma zusammenarbeiten, die darauf besteht, dass die Daten auf dem Laptop vollverschlüsselt sind.
Zum Einsatz kommt entweder das T60 (T2400, 2GB Ram) oder das X41 (1,6Ghz SingleCore, 2GB Ram).
Ich kann ja Ubuntu und damit auch Linux Mint vollverschlüsselt installieren, aber belastet das sehr die Hardware?
Wie funktioniert das genau? Wird der Inhalt in den Ram geladen und dort entschlüsselt oder passiert das direkt beim Zugriff, also ohne zusätzliche Belastung des Rams?
Meint ihr, dass T60 und X41 das verkraften oder sind die zu langsam?

Gruß
Christopher

 

[gazpel]

Ich sehe nicht so ganz wieso du dann Vollverschlüsselung (Also die gesamte Festplatte) verwenden willst.
Am einfachsten legst du einen neuen Benutzer an und verschlüsselst dessen home beim anlegen (geht unter ubuntu 12.04 via gui (system->settings-> users and groups -> add -> checkbox encyrpt home folder)).
Nur wenn du mit der Firma zusammenarbeitest verwendest du diesen Benutzer. Die Daten die im home dieses Benutzers liegen können nicht gelesen werden solange der Benutzer nicht angemeldet ist oder man das Passwort des Benutzeraccounts kennt.

Damit hast du dann auch gleich noch saubere Datentrennung.

Zum Thema Performance: Ausprobieren, wobei ich vermuten würde, dass der single-core schon eventuell ein bischn spürbar ins stottern kommt bei Operationen mit vielen Daten.

Wenn zwangsläufig alles verschlüsselt sein muss könnte eine ssd/hdd mit hardware aes verschlüsselung helfen, da gäbe es dann wenigstens keine zusätzliche CPU Belastung.

 

[joker4791]

Hi,

einen sehr guten Artikel zum Verschlüsseln von Laptops gibt's hier. Man muss aber dazusagen, dass er die Grundlagen beschreibt und einige Dinge auf die jeweilige Distribution anzupassen sind.
Ausserdem muss beachtet werden, dass heutzutage z. B. mit UUIDs in der fstab gearbeitet wird, was das Ganze z. T. unübersichtlich macht.
Performancemäßig ist das auch mit einem T2400 kein Problem, ich selbst habe die Verschlüsselung wie in dem Artikel beschrieben schon mit einem P3-System ohne nennenswerten Performanceverlust laufen gehabt. Flaschenhals ist entweder der IDE/SATA-Controller oder die Festplatte.

Beim T60 gäb's ja dann noch die Möglichkeit die Geräteeigenen Funktionen zu verwenden...

Grüße,
j.

 

[chris1308]

Super, der Link von Joker hilft mir zum Verständnis echt weiter.
Leider sagt die Firma das alles verschlüsselt werden muss!
Das HDD-Passwort allein reicht nicht.
Auch der E-mail Verkehr muss verschlüsselt ablaufen, auf was habe ich mich da nur eingelassen.

 

[joker4791]

OK, mit den im Artikel beschriebenen Methoden wird erstmal alles verschlüsselt, also der Inhalt der Festplatte.
Wenn Du natürlich das Laptop mit eingeloggtem Benutzer ohne Bildschirmschoner irgendwo "vergisst", kann ein Anderer Daten von der Maschine kopieren. Ist die Maschine einmal gelocked und man kennt das Passwort nicht/hat keinen Schlüssel, kommt man auch an keine Daten mehr ran (inkl. Zerlegen der Maschine).
Für den Netzwerk-Verkehr selbst kann man z. B. OpenVPN verwenden, um gesicherte Verbindungen zu den Firmenservern aufzubauen für E-Mail & Co..

 

[yatpu]

ich würde das t60 nehmen, da dessen cpu 2 kerne hat und somit etwas mehr reserven. wenn man eine ssd im rechner hat, merkt man einen gewissen unterschied zwischen verschlüsseltem und unverschlüsseltem system. man kann aber immer noch gut damit arbeiten.

thunderbird kommt mit mail-verschlüsselung gut klar. s/mime ootb, openpgp mit der erweiterung enigmail.

im standby bleibt die hdd natürlich zugänglich. wenn man es ersthaft betreibt, schaltet man firewire, cardbus und expresscard ab, da diese schnittstellen per dma zugriff auf den gesamten ram inkl schlüssel für die daten auf der hdd bieten.

 

[schoerg]

Wenn Du natürlich das Laptop mit eingeloggtem Benutzer ohne Bildschirmschoner irgendwo "vergisst", kann ein Anderer Daten von der Maschine kopieren. Ist die Maschine einmal gelocked und man kennt das Passwort nicht/hat keinen Schlüssel, kommt man auch an keine Daten mehr ran (inkl. Zerlegen der Maschine)

Was meinst du mit gelocked? Im Standby oder Sperrbildschirm steckt man seine Zauberei per Firewire/PCIe an und der Sperrbildschirm ist weg.

 

[antiheld]

Was meinst du mit gelocked? Im Standby oder Sperrbildschirm steckt man seine Zauberei per Firewire/PCIe an und der Sperrbildschirm ist weg.

Ja, mach das mal bei einer aktuellen Linuxdistru

 

[schoerg]

Ja, mach das mal bei einer aktuellen Linuxdistru

Wieso sollte das nicht gehen? DMA-Zugriffe sind OS unabhängig.

 

[kili]

Leider sagt die Firma das alles verschlüsselt werden muss!

Dann lass dir doch einfach von denen ein Gerät zur Verfügung stellen, oder die bezahlen dir die Einrichtung des Ganzen.

 

[SammysHP]

Vollverschlüsselung ist doch kein großes Ding. Ich habe bei mir auch alles verschlüsselt. In / liegt immer noch recht viel privates rum (installierte Programme, Logs etc.). Performancemäßig macht das nur recht wenig aus.

 

[linrunner]

Mein ehemaliges T60 mit 2 GHz C2D (und Intel X25-M G2 SSD) lief damals durchaus flott mit Vollverschlüsselung, allerdings mit 64bit Ubuntu. Natürlich ist es mit etwas langsamer als ohne.

Auch der E-mail Verkehr muss verschlüsselt ablaufen, auf was habe ich mich da nur eingelasse

Dein Auftraggeber macht nur seine Hausaufgaben. Vollverschlüsselung der Platte, verschlüsselte Email (und normalerweise noch VPN) sind heute Mindeststandard wenn es um Vertraulichkeit und Datenschutz geht.

Ich unterstelle mal, dass Du eine entsprechende Verpflichtung unterschrieben hast. @all: insofern ist eine Diskussion über mehr oder weniger Schutzbedarf bzw. mögliche weitere Schwachstellen müßig. Der Auftraggeber sagt was er möchte und gut.

 

[schoerg]

Dein Auftraggeber macht nur seine Hausaufgaben. Vollverschlüsselung der Platte, verschlüsselte Email (und normalerweise noch VPN) sind heute Mindeststandard wenn es um Vertraulichkeit und Datenschutz geht.

Ich unterstelle mal, dass Du eine entsprechende Verpflichtung unterschrieben hast. @all: insofern ist eine Diskussion über mehr oder weniger Schutzbedarf bzw. mögliche weitere Schwachstellen müßig. Der Auftraggeber sagt was er möchte und gut.

Die Art kommt mir aber doch ein wenig komisch vor. Der TE soll ja offenbar sein privates TP dazu verwenden.

 

[gazpel]

Die Art kommt mir aber doch ein wenig komisch vor. Der TE soll ja offenbar sein privates TP dazu verwenden.

Jupp, wenn der AG so sehr auf Sicherheit bedacht ist sollte er Hardware stellen die von ihm entsprechend sicher eingerichtet wurde und ausschließlich Zweckgebunden verwendet werden darf, sprich keine Installation von irgendwas das nichts mit dem Auftrag zu tun hat und freigegeben ist, kein privates rumsurfen oder Benutzung von Netzwerkverbindungen ausser den gewünschten VPNs. Externe Geräte wie usb-sticks oder smartphones dürfen ebenfalls nicht angeschlossen werden etcpp.

 

[chris1308]

Ich finde das ja auch komisch, aber Hardware wollte er mir keine stellen. Ist ja auch eine Zusammenarbeit zwischen Hochschule und Industrie.

Aber mir ging es viel mehr um die Verschlüsselung und da sind meine Fragen geklärt!