LUKS › Rund ums Wiki › Aktiv werden › Forum › staging.inyokaproject.org

LUKS

« Vorherige 1 2…789…13 14 Nächste »

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

Dieses Thema ist die Diskussion der Artikel LUKS, LUKS/Schlüsselableitung.

thyriel81 Anmeldungsdatum: 25. Oktober 2011 Beiträge: Zähle...	Zitieren 11. November 2011 03:59 Durch nen Zufall bin ich nun draufgekommen wodurch der Bug zustande kam. Wurde wohl dadurch verursacht das die Partition auf dem Datenträger gemountet war. Ist sie ausgehängt funktionierts ohne Probleme. Interessanterweise wird die vorhandene Partition aber trotzdem zerstört wenn der Fehler auftritt, er lässt sich nur nachher nicht mit luksOpen öffnen da das Passwort nicht akzeptiert wird. Außerdem beschwert sich gparted über einige Fehler in den Partitionstabellen die ich auch nur durch mehrmalige Versuche die kaputte luks-crypt Partition zu löschen hinbekommen hab. Ich werd das in den Baustellen Artikel auch noch einarbeiten das man darauf achten soll. Würd mich aber mal interessieren ob das in den älteren Versionen auch so der Fall ist ? (Kernel 2.6 oder kleiner)
thyriel81 Anmeldungsdatum: 25. Oktober 2011 Beiträge: Zähle...	Zitieren 16. November 2011 02:51 Der Baustellenarikel ist soweit fertig und kann von meiner Seite aus übernommen werden ☺ Geändert ist nun (von oben nach unten): getestet +oneiric "Zum Verständnis dieses Artikels sind" +Formatieren (hat einfach gefehlt find ich, hab zuerst selbst wie ein dummer die Kommandos zum formatieren gesucht) Absatz "Erstellen", zweites "Achtung!" +unmount neuer Absatz am Ende "Workaround bei Problemen" Den neuen Absatz am Schluss hab ich versucht so kurz wie möglich zu hallten, ich denke mal das sollte damit jeder der schonmal einen verschlüsselten Datenträger bei der Installation erstellt hat hinbekommen.
Lasall Ehemalige Anmeldungsdatum: 30. März 2010 Beiträge: 7723	Zitieren 16. November 2011 19:51 Hi thyriel81, ein Einrichten ueber die Kommandozeile hat dann doch funktioniert? Ich habe das so aufgefasst und ein wenig den Text abgeaendert, schaue bitte drueber, ob du damit zufrieden bist. Ansonsten imho in Ordnung. Vielen Dank schonmal fuer den Zusatz und das Testen. Gruss Lasall
thyriel81 Anmeldungsdatum: 25. Oktober 2011 Beiträge: 23	Zitieren 16. November 2011 23:14 Passt perfekt ☺ Lasall ein Einrichten ueber die Kommandozeile hat dann doch funktioniert? Ja das funktioniert nun, war nur das Problem das die Partition gemountet war... muss man auch erstmal draufkommen wenn die Fehlerroutine im cryptsetup das nicht abfängt g
Lasall Ehemalige Anmeldungsdatum: 30. März 2010 Beiträge: 7723	Zitieren 16. November 2011 23:40 Hi thyriel81, warten wir noch ein paar (ca. 3) Tage. Wenn bis dahin keine Anmerkungen kommen, wird der Artikel ins Wiki verschoben. Gruss Lasall
Lasall Ehemalige Anmeldungsdatum: 30. März 2010 Beiträge: 7723	Zitieren 20. November 2011 21:00 Hi thyriel81, vielen Dank fuer deinen eingebrachten Verbesserungsvorschlag! Artikel nun wieder im Wiki. Gruss Lasall
frustschieber Ehemalige Anmeldungsdatum: 4. Januar 2007 Beiträge: 4259	Zitieren 18. März 2012 10:53 allerdings ungetestet! Kann Jmd bitte eine aktuelle Version eintragen? Danke
noisefloor Ehemaliger Anmeldungsdatum: 6. Juni 2006 Beiträge: 28316	Zitieren 18. März 2012 19:52 Hallo, ein Fall für RvD😉 Gruß, noisefloor
MKay Anmeldungsdatum: 25. Februar 2007 Beiträge: 274	Zitieren 13. Mai 2012 10:19 Im Wiki-Eintrag steht folgendes unter dem Punkt "Beim Startvorgang": Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form ^[4] an die Datei /etc/crypttab angehängt ^[5]. Das hat mich etwas verwundert, da an dieser Stelle doch gar nicht mit abgeleiteten LUKS-Geräten gearbeitet wird. Abgeleitete Schlüssel werden doch im Artikel LUKS/Schlüsselableitung behandelt und dort steht der oben zitierte Satz ebenfalls. Allerdings sieht der Eintrag für die /etc/crypttab jeweils anders aus. Kann es sein, dass der oben zitierte Satz hier einfach kopiert wurde und nicht ganz richtig ist, da es ja hier um Schlüsseldateien geht?
Lasall Ehemalige Anmeldungsdatum: 30. März 2010 Beiträge: 7723	Zitieren 13. Mai 2012 10:54 Hi MKay, das sieht alles korrekt aus. Und die 2 Zeilen in der crypttab unterscheiden sich ja auch. Bitte verlinke mal direkt auf die Abschnitte und formuliere das Problem neu, da ich es leider nicht verstehe. Gruss Lasall
MKay Anmeldungsdatum: 25. Februar 2007 Beiträge: 274	Zitieren 13. Mai 2012 11:20 OK, ich versuche mich etwas verständlicher auszudrücken ☺ Im Artikel LUKS/Schlüsselableitung geht es ja darum, dass der Schlüssel für ein LUKS-Gerät aus einem bereits entschlüsselten LUKS-Gerät abgeleitet wird. Entsprechend steht unter LUKS/Schlüsselableitung (Abschnitt „Beim-Startvorgang“) folgendes: Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form ^[3] an die Datei /etc/crypttab angehängt ^[4]. Und die angegebene crypttab Zeile verweist auch auf das decrypt_derived-Skript. Das passt also alles soweit. Im Artikel LUKS/Schlüsseldatei geht es jedoch nicht um abgeleitete Schlüssel. Unter LUKS/Schlüsseldatei (Abschnitt „Beim-Startvorgang“) steht aber der gleiche Satz: Zum Öffnen eines abgeleiteten LUKS-Geräts beim Systemstart wird die folgende Zeile in angepasster Form ^[4] an die Datei /etc/crypttab angehängt ^[5]. In der crypttab-Zeile darunter wird richtigerweise die Schlüsseldatei angegeben und kein decrypt_derived-Skript. Ich finde es jetzt nur verwirrend, dass hier wieder "abgeleiteten LUKS-Gerät" steht, da hier ja keine Schlüsselableitung von bestehenden LUKS-Geräten stattfindet. Oder ich interpretiere hier die Begriffe o.Ä. falsch 🙄
Lasall Ehemalige Anmeldungsdatum: 30. März 2010 Beiträge: 7723	Zitieren 13. Mai 2012 11:30 Hi MKay, danke für den Hinweis ☺ , done. Gruss Lasall
frustschieber Ehemalige Anmeldungsdatum: 4. Januar 2007 Beiträge: 4259	Zitieren 20. Mai 2012 17:49 archiviert, da st >6 Mo ungetestet
crazy-biscuit Supporter Anmeldungsdatum: 6. November 2010 Beiträge: 4842	Zitieren 2. August 2013 15:05 Ich habe ein paar Fragen: 1. Ist es während des entschlüsselns des Geräts mit dem abgeleiteten Schlüssel möglich diesen mitzuschneiden? Damit würde ein Sicherheitsrisiko enstehen auf welches hier nicht eingegangen wird. 2. Wie genau funktioniert der Sicherheitsschlüssel? Kann ich das Gerät dann manuell mit dem luksOpen-Befehl und dem Sicherheitsschlüssel öffnen?
frostschutz Anmeldungsdatum: 18. November 2010 Beiträge: 7529	Zitieren 2. August 2013 16:07 crazy-biscuit schrieb: 1. Ist es während des entschlüsselns des Geräts mit dem abgeleiteten Schlüssel möglich diesen mitzuschneiden? Damit würde ein Sicherheitsrisiko enstehen auf welches hier nicht eingegangen wird. Das unverschlüsselte /boot könnte jemand modifizieren, der sich Zugang zu deinem Rechner verschafft. Dann können alle Keys die in der Bootphase aufgemacht werden auch mitgeschnitten werden, das System ist kompromittiert. Wenn dein Rechner in einer Umgebung steht auf die andere Zugriff haben oder du fürchten mußt daß sich jemand Zugriff in deine Wohnung verschafft, wäre eine Möglichkeit, /boot auf einen USB-Stick zu verlegen den du am Schlüsselbund immer bei dir trägst. Als zusätzliche Sicherheitsmaßnahme könntest du dann auch mit verschlüsselten Keyfiles auf dem USB-Stick arbeiten. Der Angreifer braucht dann eine Kopie des USB-Sticks sowie das Passwort für die Keyfiles auf dem USB-Stick. Ohne Keyfiles reicht ein einfacher Keylogger. 2. Wie genau funktioniert der Sicherheitsschlüssel? Kann ich das Gerät dann manuell mit dem luksOpen-Befehl und dem Sicherheitsschlüssel öffnen? Ja, LUKS unterstützt bis zu 8 Keys/Passwörter, solltest du für ein dir bekanntes zusätzliches Passwort nutzen für den Fall daß die Schlüsselableitung mal nicht mehr funktionieren sollte.

« Vorherige 1 2…789…13 14 Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »