Ein paar Fragen zur Kryptographie

Dieses Thema im Forum "Security Talk" wurde erstellt von embro, 08.06.2005.

  1. embro

    embro Mitglied

    Dabei seit:
    07.04.2004
    Beiträge:
    25
    Zustimmungen:
    0
    Ich habe vor einige Partitionen zu verschlüsseln. Dazu habe ich noch einige Fragen, auf die ich bisher keine Antwort gefunden habe...

    1. An verschiedenen Stellen kann man lesen, dass dmcrypt im Vergleich zu loopaes unsicherer sein soll. Kann das jemand näher erläutern? Und vor allem "wie" sehr unsicherer ist es denn?

    2. Wenn ich die verschlüsselte Partition mit einem journaling FS formatiere, muss ich mir da sicherheitstechnisch über irgendwas im Klaren sein? Wird das journal ebenfalls verschlüsselt?

    3. Bevor ich die Partition verschlüssele, möchte ich sie reinigen... D.h. ich muss sie überschreiben (am besten mehrmals). Oder reicht es etwa einfach die Partition zu verschlüssen, sodass die Daten , die sich vor der Verschlüsselung auf der Partition befanden, nicht mehr rekonstruierbar sind?

    Noch was anderes, hat nicht direkt etwas mit Verschlüsselung zu tun, folgendes Szenario:

    Ich habe eine laufende unverschlüsselte Partition... Ich möchte nun die Festplatte reinigen, sodass keine Daten mehr rekonstruierbar sind, jedoch die aktuellen Daten auf der Partition belassen. Ist es möglich den unbenutzen Platz der Partition mit 0 und 1 zu überschreiben?

    Danke schonmal..
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. .eg

    .eg Eroberer

    Dabei seit:
    11.08.2004
    Beiträge:
    64
    Zustimmungen:
    0
    Das ist _nicht_ sicher, siehe [1]
    Programm: SecureDelete von thc.org (irgendwo bei releases zu finden)


    Gruss, .eg

    [1]: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
     
  4. #3 oyster-manu, 08.06.2005
    oyster-manu

    oyster-manu toast

    Dabei seit:
    26.06.2003
    Beiträge:
    1.055
    Zustimmungen:
    0
    zu 1. und 2. kann ich leider nichts sagen, aber:

    wieso willst du deine partition vor dem verschlüsseln reinigen? afaik wird die komplette partition verschlüsselt, somit sind die "alten" daten auch vor unauthorisierten zugriffen geschützt und falls nicht s.u.

     
  5. dmaphy

    dmaphy Routinier

    Dabei seit:
    16.04.2004
    Beiträge:
    482
    Zustimmungen:
    0
    Ort:
    Hamburg
    es gibt einen konsolenbefehl "shred" wenn ich mich irre,
    damit kann man daten zumindest sicher löschen...
     
  6. #5 bananenman, 09.06.2005
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    kleiner exkurs in die funktionsweise von journalisierenden dateisystemen:

    wenn du ein journalisierendes dateisystem verschlüsseln willst, wird das journal selbstverständlich mitverschlüsselt. die chiffrierung, die datenorganisation oder alle anderen logischen vorgänge werden ja nicht durch die festplatte oder den controler, sondern durch einen teil des kernels - genauer durch das virtuelle dateisystem (vfs) - ausgeführt. dieses behandelt alle daten die an ihm vorbeirutschen nach den gleichen regelsätzen (in diesem beispiel "data=writeback"-journal - also das standard-journal - bei reiserfs 3.6):
    1. metadaten chiffrieren und ins journal schreiben (ein klassisches journal ist ein reservierter speicherbereich, in den nur die zu journalisierenden daten geschrieben werden).
    2. nutzdaten chiffrieren und auf der partition ablegen.
    3. die chiffrierten metadaten in die partition schreiben und den platz im journal freigeben.

    die ausführung dieses regelsatzes obliegt aber natürlich dem controler und der festplatte - und die festplatte bekommt ausschließlich chiffrierte daten.

    alle anderen journalisierenden dateisysteme arbeiten ähnlich - mit zwei ausnamen:
    - ext/3 und reiserfs 3.6 bieten optional den journal-mode data=journal - dabei werden alle metadaten und alle nutzdaten journalisiert.
    - reiser4 legt das journal nicht mehr in einem festgelegten bereich auf der partition ab, sondern "schiebt" das journal quasie immer vor den gespeicherten daten her - das funktioniert dann folgendermaßen:
    1. metadaten werden journalisiert - dazu schreibt reiser4 diese daten auf irgendeinen freien speicherblock im dateisystem und setzt ein "journal-flag" - dadurch ist klar, dass es sich bei diesen daten um ein teil des aktuellen journals handelt.
    2. nutzdaten werden geschrieben.
    3. bei den schon geschriebenen metadaten wird lediglich der journal-flag entfernt - damit sind sie schon reguläre daten der partition. das journal requeriert sich neue leere datenblöcke aus der partition.

    zum "platte putzen" würde ich dir wipe empfehlen.
     
  7. embro

    embro Mitglied

    Dabei seit:
    07.04.2004
    Beiträge:
    25
    Zustimmungen:
    0
    zunächst vielen dank für die schnellen antworten...

    ok, da könnte was dran sein ... kann das jemand bestätigen, dass nach der verschlüsselung die partition insgesamt mit allen daten, die sich jemals auf ihr befanden sicher ist?


    genau das meine ich. hört sich aber ziemlich umständlich an... da wär es fast noch einfacher die daten auf einer anderen partition zwischenzulagern, danach die "original" partitioin zu reinigen, um dann die daten wieder zurückzukopieren und dann die andere partition zu reinigen... ist aber auch umständlich, deshalb frag ich mich, ob es nicht ein programm gibt, das alles auf der festplatte unbrauchbar macht, dabei jedoch meine "aktuell benutzen daten" in ruhe lässt :think:
     
  8. #7 bananenman, 09.06.2005
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    ich glaube das nicht - sonst hätte man das wipe nicht erfunden. das wipe sorgt nämlich dafür, dass alle speicherbereiche auf denen jemals daten gespeichert waren gecleaned werden. datenrecovery ist zwar bei den linuxdateisystemen nicht so einfach wie bei fat16/32 aber nicht unmöglich. beim verschlüsseln von daten werden natürlich nur die momentan vorhandenen daten verschlüsselt - nicht die dateireste (tails) die seid der letzten löschaktion unbenutzt in den datenblöcken vor sich hin dämmern. wie gesagt, schau dir wipe mal an.
     
  9. embro

    embro Mitglied

    Dabei seit:
    07.04.2004
    Beiträge:
    25
    Zustimmungen:
    0
    ok, werd ich machen...

    hast du zufällig auch ne idee zum 1. punkt meines fragenkataloges? =) ... ich denke, wenn man ein ausreichend langes passphrase wählt, sollte dm-crypt auch "sicher genug" sein... würd halt noch gern andere meinungen dazu hören.
     
  10. rup

    rup Haudegen

    Dabei seit:
    10.04.2002
    Beiträge:
    627
    Zustimmungen:
    0
    Meine Erfahrungen mit Loop-AES:
    Loop-aes gibt es schon lange und es wird staendig aktuallisiert.
    Mit loop-aes verschluesselte Partitionen kann ich unter jeder einigermassen aktuellen Knoppix/Kanotix CD einfach mounten (egal ob Kernel 2.4 oder 2.6).
    ich kann bereits bestehende Partitionen mit aespipe verschluesseln (hierbei wird die ganze Partition verschluesselt, ein reinigen mit wipe waehre ueberfluessig)
    Ich verwende schon laenger (ca. 1-2 Jahre) loop-aes auf bis zu 250 GB grossen Partitionen (auch ueber USB) und hatte bisher noch nie irgend ein Problem damit.

    Zu DM Crypt kann ich nichts sagen da ich mich damals nach ausfuehrlicher Google Recherche fuer loop-aes entschieden habe.
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. #10 bananenman, 10.06.2005
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    ich denke auch das loop-aes die ausgereiftere technik ist. für reiser4 ist ein crypto-plugin angekündigt - das wäre dann wahrscheinlich noch besser, da chiffriert das dateisystem dann nämlich selbst. aber reiser4 ist offentsichtlich noch nicht reif für die welt (sonst würden sich die großen distributoren nicht so zurück halten. am schlechten ruf von reiserfs war allerdings suse durch verfrühtes vorpreschen schuld - wie sie es machen, machen sie es also falsch ;) ) und von dem crypto-plugin ist weit und breit noch nichts zu sehen.
     
  13. #11 embro, 10.06.2005
    Zuletzt bearbeitet: 10.06.2005
    embro

    embro Mitglied

    Dabei seit:
    07.04.2004
    Beiträge:
    25
    Zustimmungen:
    0
    nun gut... ich tendiere auch immer mehr zu loop-aes. das einzige, was mir noch ein ungutes gefuehl bei der ganzen sache gibt ist die tatsache, dass version 3.0b im gentoo portage noch als unstable markiert ist... das kommt natuerlich bei so einem thema ziemlich uncool =) ... andererseits halten sich die gentoo leute ja gerne mal extram zurück was stable-markierungen angeht
     
Thema:

Ein paar Fragen zur Kryptographie

Die Seite wird geladen...

Ein paar Fragen zur Kryptographie - Ähnliche Themen

  1. Sicherung der Systempartition inkl. Bootloader + ein paar Verständnisfragen

    Sicherung der Systempartition inkl. Bootloader + ein paar Verständnisfragen: Hallo, ich habe 2 Mediacenter-PC im Wohn- und Schlafzimmer in denen jeweils Ubuntu auf einer SSD installiert wurde. Einer läuft mit einem Bios,...
  2. LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage

    LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage: Ich habe mich schon hier und da belesen, sehe aber noch nicht so richtig durch. Mein System ist ein aktuelles CentOS 6.2 mit 3 mdraid...
  3. Proxy einrichten, ein paar Fragen

    Proxy einrichten, ein paar Fragen: Hi. Ich möchte einen Caching Proxy einrichten, der auch das "Accountig" übernimmt. Am liebsten wäre mir, wenn es ein transparenter Proxy mit...
  4. Ein paar Fragen zu Linux Mint

    Ein paar Fragen zu Linux Mint: Hallo, ich würde gerne folgendes erfahren. Beinhaltet das Setup von Linux Mint Debian LVM und CryptFS? Falls ja, gilt das auch für die Linux...
  5. NetBSD ein paar Fragen

    NetBSD ein paar Fragen: Hi Ich habe festgestellt das FreeBSD nicht so ganz meine Anforderungen abdeckt. Ich suche ein OS mit einer langen Lifetime, ZFS unterstützung...