Wie handhabt ihr das so mit einer möglichen Verschlüsselung des Systems?

G

grimsrud

Member
Registriert
4 Okt. 2007
Beiträge
471
Hallo zusammen,

im Namen des Wahns wollte ich mal versuchen, mein X31 komplett zu verschlüsseln, was zumindest vor einiger Zeit auch in einer VirtualBox (als Trockenübung) schonmal geklappt hat.
Da habe ich mich mal so gefragt: verschlüsseln hier noch andere Linuxer ihr System? Wenn ja: welche Partitionen verschlüsselt ihr? Nur /home? Das komplette System? Sonstige? Schlägt sich das merkbar auf die Performance nieder? Sonstige Anmerkungen?

Munter. Grimsrud

Edit: Ist es, wenn man dm_crypt nutzt, normal, dass "Bereitschaft" (Standby) nicht mehr funktioniert und nur noch Ruhezustand (Hybernate) angezeigt wird? Wird sich das auf absehbare Zeit ändern können? In meiner VBox ist das komplette System verschlüsselt. Sprich auch Swap. Schätze mal, dass das daran liegt.
 
Verschlüsselung unter Linu ist ziemlich einfach. Performance ist meiner Meinung nach gut, habe aber keinen Vergleich zu einer nichtverschlüsselten Partition. Ich würde definitv das gesamte System verschlüsseln. Am einfachsten geht es mit der Ubuntu Alternate CD oder Fedora 9. Wenn man den Ubuntu Alternate Installer verschlüsseln lässt, dann legt er neben /boot eine große lvm Partition an, wobei dort / und swap automatisch angelegt werden. Will man noch weitere Partitionen wie /home usw. haben dann muss man alles manuell partitionieren im Installer (siehe http://users.piuha.net/martti/comp/ubuntu/en/cryptolvm.html). Mittlerweile ist die Vollverschlüsselung so einfach, dass man sich wirklich keine Gedanken mehr machen muss, außer für ein anständiges Backup.
 
Ah, endlich etwas, wo ich mal aktuell zu beitragen kann...*g*
Also ich verschlüssel schon eine Weile jeweils mein home-Verzeichnis.
Vor kurzem habe ich eine neue Festplatte gekauft für meinen Desktop und die Gelegenheit gleich genutzt, auch mal das root-Verzeicnis zu verschlüsseln (also dann alles). Mittlerweile läuft es sogar, wenn auch ziemlich schmutzig (Platten -> md -> loop -> mount), aber es läuft.
Zur Verschlüsselung benutze ich loop-aes. Auf die Performance wirkt sich das nicht allzu sehr aus, so viel Festplatten-I/O habe ich dann auch nicht, als dass nicht andere Komponenten vorher ausbremsen.
 
@ meshua:
Danke für den Link! Interessant fand ich ja gleich zu anfang folgendes:
"So stellten die Forscher im Zuge ihrer Untersuchung fest, dass weit verbreitete Programme wie Word und Google Desktop trotz Dokumentenverschlüsselung Daten in unchiffrierten Bereichen der Festplatte speichern, wo sie dann einsehbar sind."
Sowas ähnliches habe ich mir fast gedacht. Gerade /tmp könnte dies betreffen.

@ s0larist:
In meiner VBox hatte ich ja testweise auch das ganze System mit der Ubuntu Alternate Version verschlüsselt. Das hatte in diesem Test echt ganz gut geklappt. Hatte dann vorsorglich mal geguckt, wie das so aussieht, wenn man das System mit einer Live-CD startet. So ohne weiteres sieht man dann natürlich erstmal garnichts. Aber durch die Einbindung entsprechender Module usw. konnte man die verschlüsselten Partitionen wieder mounten, was ja ganz in meinem Sinne wäre, falls man das System doch irgendwie mal retten muss. Allerdings weiß ich nicht, wie das aussieht, wenn man verschiedene Partitionen erstellt. Bei mir ist das z.B. in der VBox so gewesen, dass ich für /, /boot, /home und swap einzelne Partitionen angelegt habe. Wäre mal interessant zu wissen, was genau passiert, wenn man sich seine / Partition komplett zerlegt. Kommt man dann noch an die Daten von z.B. /home dran? Sind die Informationen für die einzelnen Partitionen in der jeweiligen Partition gespeichert, oder nur in /? Auf jeden Fall solle man vermutlich ein Backup von zunmindest /home anlegen (sollte man ja sowieso machen), aber das schriebst du ja bereits.
Aber auch danke für die Informationen zur Performance!

@ schrank21:
Auch dir nochmal danke für die Infos zur Performance.

Ich denke, dann werde ich das die Tage mal in Angriff nehmen. Wäre ja ärgerlich, wenn das Notebook dann doch mal geklaut wird. Gegen einen möglichen Bundestrojaner hilft dies zwar auch nicht, aber man hat zumindest schonmal ein paar Maßnahmen ergriffen, um das System gegen ungewollten Zugriff zu schützen :) Naja... vielleicht hilft es gegen den Bundestrojaner zumindest in der Form, als das erstmal keiner eben schnell das System mit einer Live-CD starten kann, und irgendwelchen Mist dahin ablegen kann, wo es für mich wirklich schädlich wäre. Allerdings glaub ich nicht, dass der Bundestrojaner auf solch einem leichten Weg ins System kommt. Die werden sich da (hoffentlich?) schon etwas geschickter anstellen, ansonsten sehe ich schwarz bei der Verbrecher-, Terroristen-, Raubkopierer- und KiPo-Jagd :)

Munter. Grimsrud
 
@ s0larist
Danke für den Link. Ist ja auch mal aufschlussreich, eine Art praktischen Benchmark zu den theoretischen Fragen und Antworten zu sehen :)
Dann werde ich das wohl wirklich mal in Angriff nehmen.

Aber eine unbeantwortet Frage bleibt noch: es ist also schon normal, dass ein komplett verschlüsseltes System kein "Bereitschaft/Standby" mehr kann, sondern nur noch den "Ruhezustand/Hibernate"? Wäre zwar schade, aber auch kein Weltuntergang.

Munter. Grimsrud
 
Unter verschlüsseltem Ubuntu 7.10 hat Standby bei mir funktioniert. Jetzt bei 8.04 geht es eher weniger, manchmal wacht er wieder auf, meist aber nicht bzw. bleibt einfach beim Aufwachen irgendwo stehen. Keine Ahnung woran das liegt. Macht mir aber nichts aus, darum kümmere ich mich erst gar nicht um das Problem.
 
[quote='grimsrud',index.php?page=Thread&postID=408721#post408721][...]
Aber eine unbeantwortet Frage bleibt noch: es ist also schon normal, dass ein komplett verschlüsseltes System kein "Bereitschaft/Standby" mehr kann, sondern nur noch den "Ruhezustand/Hibernate"? Wäre zwar schade, aber auch kein Weltuntergang.
[/quote]

Wie kommst du darauf? Standby sollte weiterhin funktionieren.

Gruesse, meshua.
 
[quote='meshua',index.php?page=Thread&postID=408727#post408727]Wie kommst du darauf? Standby sollte weiterhin funktionieren.
[/quote]

Wie ich darauf komme? Weil es bei mir mit Ubuntu 8.04 (VirtualBox) beim Beenden nicht die Auswahl gibt, das Gerät in den "Bereitschaftsmodus" zu versetzen. Daher die Annahme, dass das irgendwas mit der Verschlüsselung zutun haben muss.
Bei s0larist scheint das ja auch nicht wirklich zu funktionieren. Vielleicht muss man auch erst irgendwas einstellen oder bei grub ändern. Ich habe keine Ahnung.
Aber da ich das jetzt nochmal auf meinem realen X31 versuchen werde, werd ich euch mein Ergebnis mitteilen.
Interessant wäre ja zu wissen, ob es bei dir reliabel funktioniert. Bei s0larist scheint es ja zumindest manchmal zu gehen. Aber bei mir ist ja wirklich das Feld für den Befehl beim Beenden nichtmal da.

Munter. Grimsrud
 
Aktueller Stand:
"Bereitschaft" scheint tatsächlich zu funktionieren. Performance-Nachteile sind bislang nicht bemerkbar.

Munter. Grimsrud
 
Problematisch bei Verschlüsselung wird das Hibernaten, aber das kommt auch darauf an, was genau du gemacht hast. Deswegen finde ich es seltsam, dass du stattdessen Standby hast?!
Ein "Bundestrojaner" wäre sicher noch einfach zu installieren. Der Schwachpunkt an dieser Stelle ist dann nämlihc die Boot-Partition. Auf diese ist weiterhin unverschlüsselt zugreifbar, dort könnte mit physischem Zugriff vieler schöner Unfug getrieben werden. Hier wäre die einzige Lösung, die ich kenne, den TPM zu verwenden, dass der rummeckert, wenn seine Register nicht mehr stimmen (den genauen Namen von denen habe ich vergessen... PMR?). Aber ob es da schon eine fertige Lösung für gibt?!

Was benutzt du jetzt eigentlich zum Verschlüsseln (habe das irgendwie nicht rausgelesen?!)?
 
Habe seit langem meine /home auf dem TP per Twofish verschlüsselt, obwohl ich kurzzeitig sogar zu Serpent schwankte^^ Aber man kanns auch echt übertreiben.
Bei den 30MiB/s Durchsatz habe ich vielleicht 10% CPU Last und das verkrafte ich bzw. mein Akku auch.
 
@ schrank21

Was ich gemacht habe: ich bin einfach dieser Anleitung gefolgt. Partitionierung habe ich wie folgt gemacht:
- /boot = unverschlüsselt
- crypto-Partition erstellt. LVM eingerichtet mit einer root, einer home und einer Swap-Partition.
Das wars eigentlich schon.

Zum Bundestrojaner: da hast du vermutlich recht :( Habe ich nicht in meine Überlegungen einbezogen.

@ buddabrod
Gut zu wissen. Über die Akkugeschichte habe ich mir momentan nämlich erstmal weniger Gedanken gemacht. Na mal sehen, was wird :)

Munter. Grimsrud
 
Hi,
Von daher: Notebook immer hibernaten oder komplett ausschalten. Zusaetzlich das Booten von USB verbieten.

Gruesse, meshua.
 
[quote='meshua',index.php?page=Thread&postID=409933#post409933]Von daher: Notebook immer hibernaten oder komplett ausschalten. Zusaetzlich das Booten von USB verbieten.[/quote]
Keine schlechte Idee! Aber man sollte dann vermutlich auch das Biospasswort setzen, weil sonst macht das ja wenig Sinn :)

Auf der anderen Seite: wenn man sich das mal so überlegt, ist dieser Angriff ja doch reichlich theoretischer Art (solange man auf Standby verzichtet), oder? Ich mein, wenn ich das richtig verstehe, muss der Speicher doch relativ direkt nach dem Ausschalten mit diesem Spray eingefroren werden, damit der Speicher möglichst lange seinen Inhalt behält. Dieser AUfwand würde sich vermutlich dann lohnen, wenn ich wirklich Dreck am Stecken habe und ein Verdacht gegen mich vorliegt und die Polizei ermittelt... aber sicherlich nicht, wenn ich einfach nur meine Daten vor unbefugten Zugriff durch z.B. einen Dieb usw. schützen möchte.

Aber davon mal abgesehen, ist es natürlich wichtig, dass man sich trotz Verschlüsselung nicht in falscher Sicherheit wiegt, was ich ja quasi nun fast getan hätte. So weiß ich jetzt zwar von diesem potentiellen Problem, aber kann zumindest mir sagen, dass ein weiterer Aufwand für mich erstmal nicht nötig ist, um mich einigermassen sicher vor Gelegenheitsdieben zu schützen. Oder ist das zu blauäugig?

In dem Blogeintrag auf der Seite steht ja auch, dass der Typ sein System nun mit den Verschlüsselungsmöglichkeiten seines Thinkpads schützt. Was haltet ihr von der Idee? Würde mein X31 das überhaupt unterstützen? Sollte man IBM vertrauen? Eure Meinung ist gefragt!

Munter. Grimsrud
 
Suspend to disk ist noch hilfreicher als Suspend to ram. Da muss auf jeden Fall noch die Swap verschlüsselt werden, dann darfste hibernaten. Ich lass aber mein laptop nie an Orten, wo es gestohlen werden kann liegen und erst recht nicht im S3.
 
Also das mit dem Ram eher theoretischer Natur. In Standbay muss man sein Laptop ja nicht rumschleppen und wenn man ausschaltetist der Ram nach ein paar Minuten auch nicht mehr lesbar. Was der Typ mit seiner Thinkpad Hardwareverschlüsselung meint,sagt er ja nicht. Vermutlich eine Festplatte die FDE kann (Seagate hat ja sowas). Er meint sicher nicht den TPM Chip, da man damit nicht die Festplatte verschlüsseln kann.

Zusätzlich noch Supervisor und HD Passwort setzen, dann ist der Aufwand so groß die Platte zu entschlüsseln dass der finanzielle Aufwand enorm wird. Passwort sollte halt 16-20 Zeichen haben (auch Sonderzeichen verwenden). Dann kann in der Praxis nichts passieren.
 
Das System ist bis auf /boot komplett verschlüsselt... also auch swap.
Und ich lasse mein Notebook natürlich nicht irgendwo rumstehen... aber glaub mir: die Leute sind schneller in deiner Wohnung, als du gucken kannst. Ich spreche da aus Erfahrung. Und da ein Notebook nunmal mobil ist, kann es auch einfach mal ein sanfter Schlag auf den Hinterkopf sein und du bist die Kiste los.

Munter. Grimsrud
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben