staging.inyokaproject.org

Hallo zusammen,

Gibt es eine Möglichkeit die komplette HDD zu verschlüsseln unabhängig dem zu Grunde liegenden Dateisystem? So ähnlich wie bei Safe Guard Easy mit PBA, nur mit Linux Dateisystem Unterstützung.

Leider haben mich folgende Artikel nicht weiter gebracht:

http://www.ubuntulinux.org/wiki/EncryptedFilesystemHowto
http://www.ubuntuusers.de/wiki/sicherheit:dateien_und_festplatten_verschluesseln

Grüße

Leider haben mich folgende Artikel nicht weiter gebracht:

Das solltest Du näher erkären, denn IMHO steht da alles drin.
Woran hängts?

Möchte gerne meine bestehende Windows und Linux Partitionen (ntfs und ext3) verschlüsseln. Die Authentifizierung sollte aber vor dem Booten des Windows oder Linux Systems stattfinden (PBA).

Verschlüsselung praktisch auf Hardwareebene, so TPM-mäßig? Eigentlich sagt ja schon Deine Fragestellung aus, daß das installierte Betriebssystem (also auch Ubuntu) das nicht leisten soll und kann.

Was spricht aber gegen eine "normale" Festplattenverschlüsselung mittels device-mapper/crypt-setup, wie im Wiki-Artikel beschrieben?

Eigentlich dachte ich nicht an Hardware Verschlüsselung.

Als Beispiel: Bei SGE wird im MBR der Kernel abgelegt, welcher eine Authentifizierung vornimmt und erst danach die Partitionen entschlüsselt.

Warum soll Linux/Ubuntu so eine Funtkion nicht leisten, wäre doch genial?

Wie im Wiki beschrieben lässt sich eine Partition nicht im Nachhinein verschlüsseln. Eine Neuinstallation würde für mich eine Menge Arbeit bedeuten. Außerdem stellt sich für mich die Frage ob der Linux Kernel von einem verschlüsselten Dateisystem booten kann, weil doch erst bei beim einlesen der fstab die Partition gemountet wird. ❓

dirtymac hat geschrieben:

Eigentlich dachte ich nicht an Hardware Verschlüsselung.

Als Beispiel: Bei SGE wird im MBR der Kernel abgelegt, welcher eine Authentifizierung vornimmt und erst danach die Partitionen entschlüsselt.

Warum soll Linux/Ubuntu so eine Funtkion nicht leisten, wäre doch genial?

Dann hab ich Dich wohl falsch verstanden. Ich hab grad mal nach SGE gegoogelt. Du möchtest also Verschlüsselung über eine Software, die dennoch unterhalb der Betriebssysteme ansetzt, und gleich mit mehreren Systemen funktioniert? Da muß ich passen, bin aber kein Experte auf dem Gebiet.
dirtymac hat geschrieben:

Wie im Wiki beschrieben lässt sich eine Partition nicht im Nachhinein verschlüsseln. Eine Neuinstallation würde für mich eine Menge Arbeit bedeuten. Außerdem stellt sich für mich die Frage ob der Linux Kernel von einem verschlüsselten Dateisystem booten kann, weil doch erst bei beim einlesen der fstab die Partition gemountet wird. ❓

Das ist teilweise richtig. Es funktioniert so: Man könnte den Kernel samt initrd (sozusagen ein Mini-Dateisystem mit allem Nötigen für den Start) auf eine ausgelagerte /boot-Partition packen. Dann könntest D7 auch die Root-Partition verschlüsseln. Welchen Sicherheitsvorteil dies gegenüber einer Verschlüsselung von /home, /tmp, /var und swap bringt, ist mir nicht klar - die Root-Partition enthält ja keine sensiblen Daten.

Eine nachträgliche Verschlüsselung soll angeblich möglich sein, hört sich für mich aber ziemlich abenteuerlich an.Beispiel mit der Partition /dev/hda5:

# cryptsetup create hda5-encrypted /dev/hda5
# dd if=/dev/hda5 of=/dev/mapper/hda5-encrypted

😲
Hab das nie getestet. Wenn zwischendurch was passiert, sind die Daten natürlich verloren. Auf die Weise soll man übrigens sogar den Schlüssel ändern können (einfach dd mit zwei Crypto-Devices). Die Partition darf nicht gemountet sein. Es funktioniert also normalerweise (zumindest für /tmp und /var) nur von einer Live-CD aus. Natürlich wäre es einfacher, eine neue Partition zu erstellen, und die Daten von der alten Partition auf dem üblichen Weg auf die neue Partition zu kopieren, sofern Du genug Platz für Partitionsschaufeleien hättest.

Ginge es Dir nur um den Schutz der Daten auf dem Notebook, würde ich die nachträgliche Verschlüsselung der genannten Partitionen empfehlen ( ❗ Backup machen ❗ ). Dann bräuchtest Du eben eine eigene Verschlüsselung unter Windows. Ich nehme an, die NTFS-Daten sollen auch von Linux gelesen werden? Sonst wäre die gemeinsame Verschlüsselung doch vermutlich überflüssig. Tut mir leid, dafür fällt mir keine Lösung ein. Spezialisten, bitte melden...

Danke für deine gute und schnelle Antwort droebbel.

Werde wahrsch. folgendes versuchen:

Installation von SGE mit PBA. Einbinden des Bootloaders von der Linux Partition in Windows Bootloader. Somit sollten nach erfolgreicher Authentifizierung die Windows Partitionen dechiffriert werden und ich unter Ubuntu Zugriff haben. Weiter werden /home, /tmp, /var und swap unter Ubuntu verschlüsselt. Sollte wie von dir zu Recht hinterfragt genügen.

Hoffe der Versuch klappt. ❓ ❓ 😲 😲

So wie ich das verstehe, setzt das voraus, daß SGE quasi als Virtualisierungsschicht zwischen Betriebssystem und Hardware(Festplatte) sitzt. Das halte ich für eher unwahrscheinlich. Ich vermute, daß die Entschlüsselung nach der Pre-Boot-Authentifizierung innerhalb von Windows durch einem Treiber o.ä erledigt wird. Dann würde es mit Linux nicht funktionieren, da Linux ja nach wie vor direkt auf die Hardware zugreift. Aber vielleicht täusche ich mich: viel Glück!