Kryptofilesystem

Dieses Thema im Forum "Security Talk" wurde erstellt von UniX, 11.05.2003.

  1. UniX

    UniX Doppel-As

    Dabei seit:
    15.01.2003
    Beiträge:
    121
    Zustimmungen:
    0
    Hallo Zusammen!

    Ich will meine Daten vor Zugriffen schützen und das geht normalerweise ja doch am besten wenn man diese mit Crypt verschlüsselt oder liege ich da falsch? Ich will ein Dateisystem das komplett verschlüsselt ist. Ich habe schon gegoogelt und bin auf das CFS gestossen.
    Bevor ich da groß herumprobiere hab ich mir gedacht - frag doch einmal im forum nach. Meine Fragen:
    Habt ihr schon erfahrung mit Kryptofilesystems?
    Welches ist am sichersten - bzw eins der sichersten?
    Wie kann ich das realisieren?
    Kennst ihr vieleicht ein paar Links?
    Wie ist eure Meinung zu diesem Thema?

    Gruß UniX
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0
    ich habe ein paar gute Erfahrungen mit loopaes gemacht! Aber ich weiß nicht wie sicher das ist. Bei www.prolinux.de gibt es einen guten Artikel dazu.

    Steve
     
  4. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Also ich finde nen verschl. Dateisystem zwar gut, allerding schluckt das doch noch sehr viel Performance oder ?
     
  5. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0
    Also ich habe keine großen Unterschiede gemerkt. Allerdings habe auch nur mein /home verschlüsselt, wo ich nicht so viel lese schreibe. Ich habe mal Benchmarks gesehen irgendwo auf linuxforen.de
     
  6. #5 reset1874, 22.05.2003
    reset1874

    reset1874 Eroberer

    Dabei seit:
    17.05.2003
    Beiträge:
    55
    Zustimmungen:
    0
    Hi,

    zufällig hat gestern einer meiner Freunde mir dies Geschickt, er probiert gerde Unimäßig ein wenig mit Kryptosystemen rum und da hat er mir ein kleines Tutorial geschrieben.

    Hi *******!

    Hier ist eine kurze Anleitung wie Du ein Cryptolaufwerk unter Linux erstllen kannst.

    Patch für das Loopback-Device:
    "ftp://www.kernel.org/pub/linux/kernel/people/hvr/testing/loop-jari-2.4.20.0.patch"
    International Kernel Patch:
    "ftp://www.kernel.org/pub/linux/kernel/people/hvr/testing/patch-int-2.4.20.1.bz2"
    Diese beiden Dateien muß Du dir entsprechend deiner Kernelversion runterziehen. Falls Du den 2.4.20 benutzt, kannst Du die obigen Links direkt nehmen. Zu den beiden Dateien gibt es noch eine Signaturdatei. Der Dateiname dafür ist jeweils *.sign. Die solltest du UNBEDINGT!!! auch mit runterladen.

    util-linux Source (mount, losetup, etc.)
    "ftp://ftp.kernel.org/pub/linux/utils/util-linux/util-linux-2.11r.tar.bz2"
    util-linux Patch:
    "ftp://ftp.kernel.org/pub/linux/kernel/people/hvr/util-linux-patch-int/util-linux-2.11r.patch.bz2"
    Auch bei diesen beiden Dateien wieder die Signaturen mit runterladen.

    Den Patch für das Loopbackdevice und den Kernelpatch kopierts Du nach "/usr/src/linux".
    Danach mußt Du ins Verzeichnis /usr/src/linux wechseln. Die Patches kannst Du nun mit
    "cat loop-jari-2.4.20.0.patch|patch -p1"
    und
    "bzcat patch-int-2.4.20.1.bz2|patch -p1"
    einspielen. Sollte eigentlich ohne Fehler funktionieren.
    Jetzt kannst Du den Kernel mit "make menuconfig" neu konfigurieren.
    Die erste Option die unbedingt angestellt werden muße ist "Loopback device support" unter "Block devices".
    Danach geht es im Menupunkt "Cryptography support (CryptoAPI)" weiter.
    Hier brauchst Du "CryptoAPI support", "Crypto Ciphers", "Crypto Devices", "Loop Crypto support" und die Cryptoalgorithmen die die benutzen möchtest. Meine Empfehlung ist hier AES. Kannst aber auch alle anderen zusätzlich installieren. Am besten ist es, wenn Du alle Kerneloptionen die ich hier aufgezählt habe fest in den Kernel kompilierst (Ist bei den heutigen Ram-größen eh nicht mehr so relevant). Hast dann hinterher nicht den ganzen Ärger mit dem laden der entsprechenden Module. Jetzt Kernel übersetzen, installieren und neu starten .
    Nun fehlen noch die Updates für mount und losetup. Einfach ins Verzeichnis wechseln in dem sich die Datei util-linux-2.11r.tar.bz2 befindet. Die mit "tar -jxf util-linux-2.11r.tar.bz2" entpacken und die Datei "util-linux-2.11r.patch.bz2" in das Verzeichnis "util-linux-2.11r" kopieren. Danach in das Verzeichnis wechseln und den Krempel mit
    "bzcat util-linux-2.11r.patch.bz2|patch -p1" patchen.
    Nun kannst Du mit "make" und "make install" die Befehle neu übersetzen und installieren lassen.

    So weit, so gut.
    Damit unterstützt dein System nun Cryptolaufwerke.

    Nun brauchst Du erst mal Speicherplatz (am besten eine eigene Partition). Mit losetup kannst Du nun eins der loop-Devices initialisiern. Hier wird auch gleich nach dem Passwort gefragt.
    "losetup -e aes -k 128 /dev/hda? /dev/loop0"
    für /dev/hda? mußt Du die entsprechende Partition angeben auf der Du das Cryptolaufwerk installieren möchtest. Danach mußt Du auf der Partition ein Dateisystem anlegen. Wichtig ist dabei das du NICHT auf /dev/hda? zugreifst sondern auf /dev/loop0!!!
    "mkfs.ext3 /dev/loop0" oder "mkfs.ext2 /dev/loop0" oder was für ein Dateisystem auch immer.
    Nun kannst Du das loopdevice wieder mit "losetup -d /dev/loop0" freigeben.
    Um das Laufwerk zu mounten mußt Du
    "mount /dev/hda? /mnt/crypto -o encryption=aes,keybits=128"
    eingeben.
    Das ganze kann man auch noch schön in der "/etc/fstab" einbinden damit man (jeder user) ganz bequem per "mount /mnt/crypto" das Laufwerk mounten kann.

    Die Zeile sieht dan fogendermaßen aus:
    "/dev/hda? /mnt/crypto ext3 noauto,users,encryption=aes,keybits=128"
    /dev/hda? mußt Du natürlich noch anpassen und auch das richtige Dateisystem angeben.

    Solltest Du beim mounten das falsche Passwort eingeben so wird dir der mount-Befehl als Fehlermeldung Falscher Dateisystemtyp zurückliefern.

    Zum Passwort:
    Es sollte auf keine Fall aus irgendwelchen Wörtern zusammengesetzt sein. Am besten zufällig aus Buchstaben, Sonderzeichen und Zahlen. Da für Keybits 128 bit gewählt wurden solltest Du das auch ausnutzen. Wenn du das alles nicht beachtest, macht das Cryptolaufwerk nicht so viel Sinn. D.h. ein Passwort mit einer Länge von 16 ist schon angebracht.

    So nun viel Spaß,
    ******
     
  7. Steve

    Steve 13te

    Dabei seit:
    13.04.2002
    Beiträge:
    381
    Zustimmungen:
    0
    für loopaes braucht man den Kernel nicht patchen, man kann wenn man den loop-Support als MOdul hat auch einfach dieses ersetzen, ich finde dieses ist angehnemer. Außerdem brauch man für loopaes auch nicht den "patch-int-2.4.20.1.bz2" wenn ich das richtig sehe. Kann mich aber auch irren.


    Steve
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  9. dipesh

    dipesh Grünschnabel

    Dabei seit:
    27.09.2003
    Beiträge:
    4
    Zustimmungen:
    0
    Habe ebenfalls mit loopaes gute Erfahrungen gemacht. Zudem hat Knoppix das benötigte Modul + gepatchte utils und man kommt so jederzeit an seine verschlüsselten Partitionen ran.
    Einfach HAARGENAU die Anweisungen in der Readme.txt des loopaes-Paketes befolgen. Selbst ein root-verschlüsseltes fs ist ziemlich leicht zu bewerkstelligen.
     
  10. ssc

    ssc Guest

    Auf thc.org gibt's n nettes paper namens "anonymous unix systems".
    Das behandelt u.A. wie man CFS (ja, etwas aelter, aber dafuer kompatibel :) einrichtet

    BTW: Bei SuSE kann man sich während der Installation sowohl Crypto-Container als auch Crypto-Dateisysteme mit diversen Algorithemn (darunter auch TwoFish) zusammenklicken.
     
Thema:

Kryptofilesystem

Die Seite wird geladen...

Kryptofilesystem - Ähnliche Themen

  1. kryptofilesystem

    kryptofilesystem: hallo, Was ist denn unter einem Kryptofilesystem zu verstehen? hättet ihr für mich eine kurze prägnante Erklärung Vielen dank schon mal...