staging.inyokaproject.org

Guten Morgen

Ich meine einmal gelesen zu haben, dass es möglich ist einen LUKS key im leeren Bereich vor der ersten Partition einer externen Festplatte zu verstecken.

Meine Suche und Versuche verlaufen sich aber irgendwie im Leeren.

Versucht habe ich: Partitionieren der Festplatte und dann mit

sudo dd if=/dev/random of=/path/to/device bs=512 seek=1 count=6

einen Schlüssel erzeugt. Damit wird zwar (vermutlich) ein Schlüssel erzeugt, aber die Partition wird auch wieder gelöscht.

Muss ich die Partition nach der Schlüsselerzeugung anlegen? Wird dann nicht einfach der Schlüssel wieder gelöscht und die Übung dreht sich im Kreis?

Kurz: wie muss ich das angehen, dass es dann auch tatsächlich funktioniert?

Gruss, Klinge

Mit DOS/MBR Partition war das so möglich (das benutzt den 1. Sektor, danach ist dann vielleicht noch Grub, oder erweiterte/logische Partitionen). Aber GPT schreibst du dir damit kaputt (brauchst mindestens seek=34).

In beiden Fällen darf sich Grub auf diesen Sektoren dann nicht eingenistet haben (was bei GPT nur mit grub-install --force passiert, ansonsten braucht es eine dedizierte Partition).

Insgesamt schon sinnvoller einfacher eine Partition dafür zu machen, auch wenn es dann nicht "versteckt" ist, aber der Sinn davon ist eh zweifelhaft.

Auch umständlich da beim Öffnen dann immer das keyfile/device, offset, size angegeben werden muss.

Du kannst auch in deinem verschlüsselten Dateisystem real ein Keyfile anlegen. Dann mit filefrag schauen, an welchem Offset es allokiert ist. Darauf das LUKS Header Offset aufschlagen. Dann kannst du die verschlüsselte Version deines Keyfiles, als verstecktes Keyfile verwenden. Und wenn das Keyfile inplace (z.B. mit shred) überschrieben wird dann funktioniert der Key auch nicht mehr.

Das wäre dann ein "Versteck" für das ordentlich Speicherplatz allokiert ist im Dateisystem. Fällt aber eigentlich alles unter Security by Obscurity / Esoterik ☺

klinge

Was willst du denn damit erreichen, wenn du den Schlüssel auf dem Gerät "versteckst", welches damit verschlüsselt ist!? Ein potentieller Dieb des Gerätes ist dann doch zwingend auch im Besitzt des Schlüssels um dieses zu entschlüsseln. Für meinen Geschmack ist das kein wirklich guter Ansatz.

Schau dir stattdessen mal den Ansatz der Entschlüsselung mittels Tang/Clevis for a luks-encrypted Debian Server an. Bei dieser Lösung kannst du den Schlüssel für ein abhanden gekommenes verschlüsseltes Gerät dann wenigstens umgehend sperren/widerrufen.

adelaar

Network Bound Disk Encryption war, als ich mich das letzte mal damit rumgeschlagen habe, auch meine erste Intuition. Daran bin ich damals aber gescheitert, weil kein Rechner ununterbrochen läuft (oft läuft gar keiner). Allerdings habe ich nicht mit tang/clevis experimentiert.

Das einzige Gerät, das rund um die Uhr läuft ist eine FRITZ!Box, kann man die als tang Server verwenden?

klinge schrieb:

Guten Morgen

Ich meine einmal gelesen zu haben, dass es möglich ist einen LUKS key im leeren Bereich vor der ersten Partition einer externen Festplatte zu verstecken.

Meine Suche und Versuche verlaufen sich aber irgendwie im Leeren.

Versucht habe ich: Partitionieren der Festplatte und dann mit

sudo dd if=/dev/random of=/path/to/device bs=512 seek=1 count=6

einen Schlüssel erzeugt. Damit wird zwar (vermutlich) ein Schlüssel erzeugt, aber die Partition wird auch wieder gelöscht.

Das geht (eigentlich) nicht, weil in den ersten 63 Sektoren nach dem MBR (Sektor 1) der Bootsektor (Spur 0) liegt. (Dieser Bereich hat ausführbaren Code und ein Profi sieht sofort, dass da kein Zufallscode stehen darf. Ausserdem riskierst du das der Schlüssel schnell übeschrieben wird.) Du kannst ihn aber in allen anderen Sektoren verstecken. (Besser nicht in den ersten Spuren einer Partition.)

Es ist auch möglich ihn per Ein/Ausgabeumleitung aus Dateien herauszulesen. Das klappt auch in crypttab. (Auch mit Offset)

Das Problem ist aber, dass man den Luks-Header immer irgenwo sehen kann. Besser ist also dmcrypt ohne luks.

klinge schrieb:

[…] Ich meine einmal gelesen zu haben, dass es möglich ist einen LUKS key im leeren Bereich vor der ersten Partition einer externen Festplatte zu verstecken.

Es ist durchaus möglich, dass Du solchen Schwachsinn irgendwo gelesen hast und es ist technisch auch durchaus möglich, so etwas einzurichten. Es ist aber sinnlos:

Wer seine Haustür abschließt und den Schlüssel außen stecken lässt, ist natürlich fast genau so sicher, als wenn er gar nicht abgeschlossen hätte.

Die sinnvollere, weil technisch einfachere Alternative zu Deinem Vorhaben wäre also, gar nicht zu verschlüsseln.

kB > Schwachsinn

adelaar > kein wirklich guter Ansatz

frostschutz > zweifelhaft

um nur einige zu nennen.

Ich dachte ein versteckter Schlüssel auf einer externen Festplatte, sei ein guter Kompromis zwischen Sicherheit und Pragmatismus. Und es scheint mir doch ein grosser Unterschied zwischen Schlüssel stecken lassen und Schlüssel draussen verstecken. Wie dem auch sei, entnehme ich euren Reaktionen (und ihr habt sicher mehr Ahnung als ich), dass die Idee Blödsinn ist.

Dann stelle ich die Frage neu: Ich habe einen Rechner, den ich verschlüsseln möchte und so lange er zu Hause an seinem Platz steht, ohne Passworteingabe starten möchte. Es hängt wie gesagt eine externe Festplatte dran und die FRITZ!Box mit WLan läuft eigentlich immer. Optionen und Infos zur Umsetzung?

klinge schrieb:

Dann stelle ich die Frage neu: Ich habe einen Rechner, den ich verschlüsseln möchte und so lange er zu Hause an seinem Platz steht, ohne Passworteingabe starten möchte. Es hängt wie gesagt eine externe Festplatte dran und die FRITZ!Box mit WLan läuft eigentlich immer. Optionen und Infos zur Umsetzung?

Den LUKS-Key in einer Schluesseldatei (keyfile) auf einen USB-Stick ablegen. Da ich selbst keine Anleitungen fuer Ubuntu kenne (benutze das nur mit OpenSUSE), kann ich dir keine direkten Links dazu geben. Aber im Grunde sollten da auch die Anleitungen fuer andere Betriebssysteme genauso funktionieren.

So sind der Schluessel und die Daten getrennt und bei einer Weitergabe der Festplatte (zb wenn sie defekt ist), brauchst du auch nichts zu loeschen)

klinge schrieb:

Wie dem auch sei, entnehme ich euren Reaktionen (und ihr habt sicher mehr Ahnung als ich), dass die Idee Blödsinn ist.

Du kannst das schon so machen. Ich mache selbst auch komische Sachen.

Es muss dabei eben klar sein, daß das nicht das Nonplusultra an Sicherheit darstellt. Aber vielleicht brauchst du das auch gar nicht.

Es gibt ja ganz unterschiedlichen Gründe, warum man überhaupt Verschlüsselung einsetzt. Der eine will seine Daten auf hunderte Jahre gegen jeden noch so versierten Angreifer sicher verschlossen wissen. Der andere will einfach nur formatieren / auf Ebay verkaufen / als Garantiefall einschicken können, ohne vorher alles überschreiben zu müssen. Der eine braucht eine 128bit Entropie Passphrase, dem anderen reicht abc456. Musst du selber wissen.

Wichtig ist am Ende auch, daß du die Lösung verstehst.

sebix

Merci für den Hinweis, das ist, was ich aktuell im Einsatz habe.

Entspricht das jetzt nicht exakt dem Schlüssel, der im Schloss steckt?

Wenn ich den Stick eingestöpselt lasse, dann entspricht es dem, was ich ursprünglich vorhatte, ohne den Schlüssel zu verstecken. Wenn ich den Stick bei mir trage, dann ist eine Benutzerinteraktion nötig, die ich vermeiden möchte.

Hallo klinge,

ich versuch es mal anders. Was du machen willst ist vergleichbar mit dem, was man in jedem zweiten TV-Krimi sieht. Der Ersatz-Haus- oder Wohnungstürschlüssel liegt entweder

• in Mehrfamilienhäusern unter der Fußmatte oder auf dem Türrahmen im Treppenhaus oder

• bei Einfamilienhäusern unter einem Blumentopf neben der Hauseingangstür

Ich frag mich dann immer ob es im echten Leben wirklich so dumme Leute gibt, die es den Einbrechern so leicht machen, oder aber ob nur die Drehbuchautoren die Leute im echten Leben für so doof halten.

Auf IT übertragen: das was du ursprünglich vor hast ist auch nicht cleverer als das Passwort zum Login auf einem Post-it unter die Tastatur zu kleben 😉

Hallo adelaar

Deshalb habe ich meine Frage ja neu formuliert: gibt es denn keine Möglichkeit, so was zu realisieren, ohne sich dumm anzustellen?

Ich habe einen Rechner, den ich verschlüsseln möchte und so lange er zu Hause an seinem Platz steht, ohne Passworteingabe starten möchte. Es hängt wie gesagt eine externe Festplatte dran und die FRITZ!Box mit WLan läuft eigentlich immer. Optionen und Infos zur Umsetzung?

Hallo klinge,

Naja, dein erste Ansatz war ja, um im Bild mit den Krimis zu bleiben, den Schlüssel gleich von Außen in der Haus-/Wohnungstür stecken zu lassen 😉

Der neue Ansatz von dir, USB-Laufwerk eingesteckt am Notebook/PC oder zumindest direkt daneben liegend ist für mich die Fußmatte/der Blumentopf.

Einen besseren Vorschlag hatte ich dir ja schon unterbreitet: tang/clevis.

Dafür reicht ja irgendein Mini-PC, Raspberry Pi, etc. Den kann man irgendwo relativ weit entfernt vom Schreibtisch mit Notebook/PC versteckt unterbringen. So ein Gerät braucht ja nur Strom und WLAN um den Job zu erledigen. Noch besser wäre es den in einer anderen Location zu deponieren. Hat man z.B. ohnehin eine VPN zwischen der eigenen Wohnung und z.B. der Wohnung von z.B. Eltern/Kindern dann kann das Ding auch dort stehen.

Nimmt dann ein Dieb Notebook/PC oder mit, ist er ja bald außerhalb des WLAN's und damit ist der Schlüssel per tang/clevis unerreichbar.

klinge schrieb:

sebix

Merci für den Hinweis, das ist, was ich aktuell im Einsatz habe.

Aha. Dann habe ich die Anforderungen nicht verstanden.

Entspricht das jetzt nicht exakt dem Schlüssel, der im Schloss steckt?

Ja

Wenn ich den Stick eingestöpselt lasse, dann entspricht es dem, was ich ursprünglich vorhatte, ohne den Schlüssel zu verstecken. Wenn ich den Stick bei mir trage, dann ist eine Benutzerinteraktion nötig, die ich vermeiden möchte.

Warum verschluesselst du ueberhaupt?

adelaar

tang/clevis

Darauf habe ich m.E. schon geantwortet: aktuell habe ich keinen Compi, der rund um die Uhr läuft und ich möchte auch keinen anschaffen. Grundsätzlich gefällt mir die Idee (und habe dazu vor längerem auch schon recherchiert). Gibt es Möglichkeiten, so was ausschliesslich mit einer Fritz!Box zu realisieren?

sebix

Warum verschluesselst du ueberhaupt?

Primär möchte ich verhindern, dass jemand, der meine Rechner oder Festplatten an sich bringt, meine Daten nicht auslesen kann (oder zumindest eine Weile damit beschäftigt ist).