Debian & Windows crypten

[whitenexx]

Hallo zusammen!
Ich möchte die Fesplatte meines Notebooks komplett crypten.
Ich finde es gibt viele Gründe warum sowas machen sollte, zum einen schützt man seine Daten besser, wenn das Notebook mal entwendet wird und zum anderen lernt man wieder was über crypting (ich zumindest).

Zur Zeit läuft bei mir Windows Vista und Debian Lenny im Dualboot-System (Grub als Bootmanager).

Ich hab ein Samsung R70 Despina Notebook (250GB HDD mit 5400rpm, Intel C2D 2,0 Ghz, 2GB RAM).

Nun kommen meine Fragen und Probleme:
Wenn ich Windows (wahrscheinlich XP) mit TrueCrypt komplett crypte (mit preBootAuthentication), danach Debian Lenny installiere (Grub auch) und das mit einem verschlüsselten LVM, funktioniert dann mein Windows noch?

Ich weiß nämlich nicht, inwiefern sich die preBootAuthentication von Windows und Grub in die Quere kommen.

Und wie sicher ist ein gecryptetes LVM? Ich habe auch von dm-crypt gelesen, ist das wieder was anderes?
Nunja, es gibt dann auch TrueCrypt für Linux, aber dafür müsste ich einen neuen Kernel bauen. Lohnt sich das?

Ein gecryptetes Betriebssystem wird sicherlich etwas langsamer und verbraucht mehr Akku (vom Notebook). Sollte ich unter Linux nur wichtige Partitionen wie /home, /var, /usr oder so crypten? Macht das nen Geschwindigkeitsunterschied? Wenn nicht, dann crypte ich alles.

Hoffe ihr könnt mir dazu etwas sagen. Neuinstallation meines gesamten Notebooks hatte ich eh vor, von daher könnte ich die Option "verschlüsseltes LVM" im Debian-Installer auswählen, oder besser nicht?

Klärt mich mal bitte auf!

Vielen Dank euch allen!
whitenexx

 

[supersucker]

Klärt mich mal bitte auf!

Gerne.

Das Wort "crypten" existiert im Deutschen noch nicht. Angemessener wäre vermutlich "verschlüsseln".

Wenn ich Windows (wahrscheinlich XP) mit TrueCrypt komplett crypte (mit preBootAuthentication), danach Debian Lenny installiere (Grub auch) und das mit einem verschlüsselten LVM, funktioniert dann mein Windows noch?

Keine Ahnung, aber eine Komplettverschlüsselung lohnt sich in 99% aller Fälle nicht. Was soll das bei /usr z.b. bringen? Richtig, nix.

Nunja, es gibt dann auch TrueCrypt für Linux, aber dafür müsste ich einen neuen Kernel bauen. Lohnt sich das?

Ja, das ist kein Hexenwerk. Und wie kommst du darauf, das du einen neuen bauen musst? Bei mir sind alle notwendigen Optionen schon "von Haus aus" gesetzt.

Sollte ich unter Linux nur wichtige Partitionen wie /home, /var, /usr oder so crypten?

Ja, weniger ist hier mehr. Und /usr macht überhaupt keinen Sinn! (S.o.)

Macht das nen Geschwindigkeitsunterschied?

Nein, die Entschlüsselung erfolgt ja einmalig.

 

[Gast1]

Keine Ahnung, aber eine Komplettverschlüsselung lohnt sich in 99% aller Fälle nicht. Was soll das bei /usr z.b. bringen? Richtig, nix.

Dazu erst mal Full ACK, zumindest übersteigt der Aufwand meist den Nutzen.

Ich habs vor ein paar Tagen schon mal geschrieben, wenn $HIER_UNGELIEBTE_ORGANISATION_IHRER_WAHL_EINFÜGEN wirklich Interesse an den installierten Anwendungen hat, dann findet sie selbige einfacher auf sourceforge&Co bzw. den entsprechenden Installationsmedien der verwendeten Systeme (und bei den Linux-Anwendungen diese sogar im Quellcode).

Ja, das ist kein Hexenwerk. Und wie kommst du darauf, das du einen neuen bauen musst? Bei mir sind alle notwendigen Optionen schon "von Haus aus" gesetzt.

Zumal (und ich vermute, da kommt diese Sache mit dem Kernel bauen her) seit Version 5.0 Truecrypt _kein_ eigenes Kernelmodul mehr benötigt (und selbst das könnte man extern bauen ohne sich einen neuen Kernel klöppeln zu müssen).

 

[whitenexx]

Also erstmal danke für eure Antworten. Okay sagen wir anstatt "crypten", "verschlüsseln".

Dann werd ich unter Windows alles verschlüsseln (ne andere Möglichkeit gibts ja kaum Registry oder sonst was zu schützen). Und Linux nur teilweise.

Welche Partitionen würdet ihr unter Debian verschlüsseln? /home ist schonmal klar, /var auch, aber wo befinden sich noch personenbezogene Daten oder Logs oder Informationen von installierter Software?

Wie würdet ihr Debian verschlüsseln? Per TrueCrypt, dm-crypt, verschlüsseltes LVM...?

Danke nochmals für eure Antworten! Bin echt neu auf dem Gebiet (und auch hinsichtlich Kernel(s) , denn hab noch nie was großes am Kernel verändert oder gemacht).

whitenexx

 

[supersucker]

Naja, unter Linux würde ich $MEINE_SENSIBLEN_DATEN sowie /var + /tmp verschlüsseln.

Als Methode der Wahl würde ich Truecrypt nehmen -> Das ist aber alles subjektiv natürlich.

Zu dem LVM-Geraffel kann ich nix sagen, da ich sowas nicht verwende.

 

[aussengelaender]

also ich habs auf meinem laptop so gemacht das ich eine externe partition /home mit nem truecrypt, full ack verschluesselt habe. Und noch nen kleinen script habe das beim hochfahren gleich das pw abfragt. Das funktioniert relativ gut und so koenntest du das ja dann auch fuer 3 interne partitionen machen.
Was windows angeht kann ich dir leider nichts zu sagen.

 

[Gast1]

Nur noch ein Wort der Warnung, bevor da jemand auf eine falsche Idee kommt.

Es wird nicht funktionieren, "nur" /etc auf eine eigene Partition zu legen und diese zu verschlüsseln, da /etc IIRC eines der wenigen Verzeichnisse ist, welches sich zwingend auf der Rootpartition befinden muss.

Ob es sich allerdings lohnt, dafür die gesamte /-Partition zu verschlüsseln?

Ich müsste ne Weile überlegen, was sich an wirklich sensitiven Daten auf der /etc im Klartext befindet.

OK, eventuell WLAN-Keys, die man dann eben im Falle eines Diebstahls ändern müsste (wpa_supplicant.conf, /etc/network/interfaces).

Man könnte aber auch die oben genannte wpa_supplicant.conf an einen "verschlüsselten" Ort verfrachten, bei Benutzung bestimmter Frontends liegen die Configs eh auf $HOME (NetworkManager z.B.).

Also den Aufwand nicht zwingend wert.

 

[whitenexx]

Hmm...also ich tendiere zu TrueCrypt, aber habe Angst vor Problemen. Gibts irgendwelche Tutorials oder HowTo's die ich mir ansehen könnte?

Ich hab ja zur Zeit schon ein Debian Lenny am laufen. Kann ich das irgendwie verschlüsseln ohne neu zu installieren? Also mir wären /home und /var lieb.

Schade das mir keiner sagen kann, wie sicher so ein verschlüsseltes LVM ist, denn das würd mich mal interessieren.

/edit/ Warum gibts TrueCrypt nicht mehr als *.deb? Ich hab früher das Ubuntu Paket von deren Seite genommen, aber nun ist es ein Installer (.sh).

/edit2/ edit1 hat sich geklärt, man kann mit dem Installer eine .deb generieren lassen.

Danke für die zahlreichen Antworten!!! Echt toll =)
whitenexx

 

[rikola]

Schade das mir keiner sagen kann, wie sicher so ein verschlüsseltes LVM ist, denn das würd mich mal interessieren.

Es kommt auf die Laenge des Schluessels an. Ich vermute mal, dass die von der Distribution vorgeschlagenen Verschluesselungsarten und Schluessellaengen so sicher wie bei TrueCrypt sind.

Wenn Du ein manisch-sicheres System haben moechtest, solltest Du /root, /var, /home, /tmp und swap verschluesseln. /usr enthaelt i.d.R. Daten, die ja bei der Distribution nachschaubar sind. Es sei denn, Du installierst z.B. unter /usr/local Programme, von denen Du nicht moechtest, dass andere wissen, dass sie installiert sind, wie einen MPlayer, der sich nicht um die Regional-Codes von DVD's kuemmert...
/tmp und swap sind vermutlich nicht notwendig, wenn Du nur nicht willst, dass ein Dieb an Deine Daten kommt. Falls Du Sorge hast, dass sich eine groessere Organisation fuer die Daten interessiert, die z.B. auf forensische Mittel einsetzen wuerde, um die Daten zu rekonstruieren, solltest Du diese beiden Verzeichnisse auf verschluesseln.


Dass das System dadurch nichts langsamer wird, halt ich fuer falsch. Ich verstehe auch nicht (@supersucker), weswegen die Verschluesselung nur einmal erfolgen sollte. Wenn man Daten auf die Platte schreibt, muessen die ja verschluesselt dort ankommen, und wenn man viel Platten-I/O hat, kann das schon recht belastend sein, v.a., wenn auch swap verschluesselt ist(und das sollte es schon sein, wenn man manisch-sicher gehen moechte).

 

[supersucker]

Ich verstehe auch nicht (@supersucker), weswegen die Verschluesselung nur einmal erfolgen sollte. Wenn man Daten auf die Platte schreibt, muessen die ja verschluesselt dort ankommen, und wenn man viel Platten-I/O hat, kann das schon recht belastend sein, v.a., wenn auch swap verschluesselt ist(und das sollte es schon sein, wenn man manisch-sicher gehen moechte).

Das Ver- und Entschlüsseln der Daten erfolgt automatisch und in Echtzeit (on-the-fly), d.h. nachdem ein verschlüsseltes Laufwerk eingehängt wurde, kann ganz normal darauf zugegriffen werden und man bemerkt keinen Unterschied zu einem unverschlüsselten Laufwerk.

Ich bemerke bei meinen verschlüsselten Laufwerken auch bei extremen Lese / Schreiboperationen keinen Unterschied zu unverschlüsselten Laufwerken.
Ich verwende aber auch keine dynamischen Container, da mag das durchaus deftig auf die Performance gehen.

 

[cremi]

Das Wort "crypten" existiert im Deutschen noch nicht. Angemessener wäre vermutlich "verschlüsseln".

klugscheißer

 

[whitenexx]

Es kommt auf die Laenge des Schluessels an. Ich vermute mal, dass die von der Distribution vorgeschlagenen Verschluesselungsarten und Schluessellaengen so sicher wie bei TrueCrypt sind.

Es wird ja immer von Schlüsseln geredet. Mir scheint es so, als meint jeder was anderes.
Ist der Schlüssel nun das Passwort (Kennwort) oder ein aus dem Passwort generierter String/Prüf-Summe?

 

[blue-dev]

Geschwindigkeitsunterschiede?

Nein, die Entschlüsselung erfolgt ja einmalig.

Nein das ist nicht der Fall, sondern das folgende: es wird eine art nebendevice erstellt (bei luks öffentlich, bei cryptload (noch nie benutzt) afaik überschrieben.
Dieser Container ist lediglich ein mapper auf die alte Platte und wenn man diesen beschreibt werden die Daten ver / entschlüsselt je nach dem was gelesen oder geschrieben werden muss.

Dadurch steigt lediglich die CPU-Auslastung bei so gut wie allen Aufgaben die Schreib / Leseintensiv sind.
Die Entschlüsselung erfolgt auch nicht nur "einmal" sondern immer wenn auf entsprechende Dateien zugegriffen wird. Ich hab da erst letztens nen Artikel drüber gefunden den ich keinem vorenthalten möchte (wenn ich ihn denn wiederfinde .

 

[supersucker]

Nein das ist nicht der Fall, sondern das folgende: es wird eine art nebendevice erstellt (bei luks öffentlich, bei cryptload (noch nie benutzt) afaik überschrieben.
Dieser Container ist lediglich ein mapper auf die alte Platte und wenn man diesen beschreibt werden die Daten ver / entschlüsselt je nach dem was gelesen oder geschrieben werden muss.

Stimmt.

Blue-Dev hat Recht und ich hatte mit meiner vorherigen Aussage Unrecht.

Das hier allerdings

Ich bemerke bei meinen verschlüsselten Laufwerken auch bei extremen Lese / Schreiboperationen keinen Unterschied zu unverschlüsselten Laufwerken.

ist mein "gefühltes" Erlebnis, und da hab ich keine merkbaren Einbußen erlebt.

Aber wie schon erwähnt ist das alles streng subjektiv.

Das Wort "crypten" existiert im Deutschen noch nicht. Angemessener wäre vermutlich "verschlüsseln".
klugscheißer

Da hast du Recht.

Aber es muss doch möglich sein, die totale Verdenglischung der deutschen Sprache durch MTV-Generation Worte noch zu verhindern....

 

[blue-dev]

Stimmt.

...Blue-Dev...

Aber es muss doch möglich sein, die totale Verdenglischung der deutschen Sprache durch MTV-Generation Worte noch zu verhindern....

Don't capitalize my nickname (no joke). Thank you.

Und um dann doch noch was sinnvolles zum in diesen Beitrag (post) zu packen:

Performance - Systempartition

Bootzeit:

* Ohne Verschlüsselung: 43,1s
* Mit Verschlüsselung: 53,7s

Shutdown-Zeit:

* Ohne Verschlüsselung: 13,0s
* Mit Verschlüsselung: 13,3s

Startzeit Photoshop CS2 (Trial):

* Ohne Verschlüsselung: 26,0s
* Mit Verschlüsselung: 26,0s

Ordner: 2.9GB / 514 Dateien:

* Ohne Verschlüsselung: 2:53min
* Mit Verschlüsselung: 3:16min

Quelle: http://www.pentmouse.de/vb/computer...platten-verschluesseln-mittels-truecrypt.html

1. Test 1: Unpacking kernel sources for Linux 2.6.24:

time tar jxvf /home/owner/linux-2.6.24.tar.bz2 -C /mnt/volume/
real 0m19.250s
user 0m17.509s
sys 0m2.716s

time tar jxvf /home/owner/linux-2.6.24.tar.bz2 -C /media/truecrypt1/
real 0m27.737s
user 0m17.449s
sys 0m2.696s
2. Deleting the unzipped files:

time rm -R /mnt/volume/linux-2.6.24
real 0m1.134s
user 0m0.048s
sys 0m1.084s

time rm -R /media/truecrypt1/linux-2.6.24
real 0m1.308s
user 0m0.056s
sys 0m1.240s
3. Copying a file of size 367MB:

time cp pbs03e11.avi /mnt/volume/
real 0m5.173s
user 0m0.024s
sys 0m0.852s

time cp pbs03e11.avi /media/truecrypt1/
real 0m23.022s

user 0m0.012s
sys 0m0.856s
4. Reading the file of size 367MB:

time cat /mnt/volume/pbs03e11.avi > /dev/null
real 0m5.497s
user 0m0.068s
sys 0m0.380s

time cat /media/truecrypt1/pbs03e11.avi > /dev/null
real 0m7.088s
user 0m0.028s
sys 0m0.308s

Quelle: http://polishlinux.org/howtos/truecrypt-5-encrypt-your-drive-in-gui/

 

[Der_Da_93]

Dazu erst mal Full ACK, zumindest übersteigt der Aufwand meist den Nutzen.

Ich habs vor ein paar Tagen schon mal geschrieben, wenn $HIER_UNGELIEBTE_ORGANISATION_IHRER_WAHL_EINFÜGEN wirklich Interesse an den installierten Anwendungen hat, dann findet sie selbige einfacher auf sourceforge&Co bzw. den entsprechenden Installationsmedien der verwendeten Systeme (und bei den Linux-Anwendungen diese sogar im Quellcode).

Als Teilzeitparanoitiker könnte ich mir zumindest ein Szenario vorstellen, bei dem es sinnvoll wäre, die gesamte Festplatte zu verschlüsseln: Mal angenommen, der Angreifer installiert ein Virus, mit dem er einfach ein Programm unter /usr ersetzt, dieses Virus würde dann alle Daten, von der Home z.B. auf die /usr kopieren ....

 

[janis]

Als Teilzeitparanoitiker könnte ich mir zumindest ein Szenario vorstellen, bei dem es sinnvoll wäre, die gesamte Festplatte zu verschlüsseln: Mal angenommen, der Angreifer installiert ein Virus, mit dem er einfach ein Programm unter /usr ersetzt, dieses Virus würde dann alle Daten, von der Home z.B. auf die /usr kopieren ....

Dann hängst du einen Schreibschutz auf /usr und du hast keine Probleme!

 

[Der_Da_93]

Dann hängst du einen Schreibschutz auf /usr und du hast keine Probleme!

Das wird Knoppix aber bestimmt nicht davon abhalten.
Oder hab ich was falsch verstanden ?

 

[Gast1]

Klar, aber das Spielchen kann man auch noch viel besser und effizienter weiterspinnen.

Den Virus auf HD könnte man ja im laufenden Betrieb vielleicht per Software dann doch entdecken.

Wie wäre es mit "Keylogger nach guter, alter Hausfrauenart" installieren?

Nix Virus oder so, schön in Hardware direkt in die Kiste gepappt?

(Für einen geübten "Agenten" sicher eine Arbeit < 5 Minuten und funktioniert auch wunderbar "distributionsübergreifend")

Dann ist die Verschlüsselung genau so witzlos und im laufenden System hat man eine Chance von nahezu 0 (in Worten null) das herauszufinden.

Anders gesagt, gegen Manipulation an der Hardware kann die ganze Verschlüsselungsgeschichte auch nicht wirklich viel ausrichten, wenn $ANGREIFER mal physikalischen Zugriff auf die Kiste hat.

Workaround:

Gut auf die Kiste aufpassen.

Greetz,

R_Aushilfsparanoiker_M

 

[supersucker]

@blue-dev

Danke für die Links, naja, dann passt das mit meinen subjektiven Gefühl ja, wenn man sich mal die Zeiten anschaut.