# Szyfrowanie partycji

## Redhot

Witam,

Nigdy w tym temacie się nie zagłębiałem, ale teraz jednak muszę  :Wink: 

Jak wygląda sprawa szyfrowania partycji? Razem z partycją systemową?

Mam na myśli coś takiego, że na pendrive są klucze, a system podczas uruchamiania

system wczytuje te klucze, a bez pendrive'a ani rusz odczytać coś z dysku. Czytałem kiedyś

o tym na ArchWiki, ale teraz już nie mogę znaleźć tego, a nie pamiętam co tam było

użyte :/

Na polskim f.g.o widziałem coś podobnego, tylko że to how-to dotyczyło

logowania/blokowania X-ów, dobrze kojarze?

----------

## SlashBeast

A jak ma wyglądać? Wygląda tak jak ją sobie zrealizujesz.

----------

## Redhot

Myślałem o oddzielnym /boot itp. ale tak doszedłem do wniosku, że szyfrowanie partycji systemowej mogę olać, tylko /home. 

Pogrzebałem w necie i znalazłem http://drimi.eu/?p=8, w miarę dobrze opisane i raczej łatwe do zrealizowania. Ktoregoś wolnego dnia się za to wezmę. Czy użycie narzędzi opisanych w tym linku oferuje w miarę dobre bezpieczeństwo danych?

----------

## SlashBeast

Wygodniej będzie chyba użyć truecrypta budowanego z -X.

----------

## Redhot

A masz jakieś How-To oparte o TrueCrypt'a?

Wygoda wygodą, ważne żeby było bezpieczne  :Wink: 

----------

## mistix

Ja się dołączę pod temat bo interesuje mnie czy można szyfrować partycję z istniejącymi już danymi ?

----------

## mbar

ja od dawna używam http://www.gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS i nie zamienię na inny sposób  :Smile: 

----------

## Redhot

Długość tego How-To podanego przez mbar-a trochę przeraża, ale trzeba przysiąść i przeczytać bo interesujące  :Wink: 

----------

## mbar

Tylko na razie daruj sobie szyfrowanie "/", jest obrzydliwy bug w openrc, który uniemożliwia uruchomienie systemu. Da się go na szczęście łatwo obejść, ale po co się denerwować  :Smile:  https://bugs.gentoo.org/show_bug.cgi?id=218141

Zresztą IMHO nie ma najmniejszej potrzeby szyfrowania "/", jeśli używasz co najmniej partycji "/home" (szyfrujesz wtedy tylko inne partycje poza "/").

PS.: z tego howto dużo da się pominąć, np. ja nie robiłem initramfs i nie bawiłem się z busybox'em (no bo nie szyfrowałem "/"), także darowałem sobie szyfrowanie swapa i zabawy z pgp.

----------

## SlashBeast

Nie da się zaszyfrować już istniejących danych, bo najpierw truecrypt śmieciami zasypuje całą partycje na którym będą szyfrowane pliki. Instalacja jest klikologiczna, odpalas zie truecrypta z /dev/sdXX np. i on prosi o wybranie algorytmu hasla, algorytmu szyfrowania, opcjonalny plik klucz i tak dalej.

http://gentoo-wiki.com/HOWTO_Truecrypt HOWTO Truecrypta odnośnie starszej wersji (>=4.3a) zanim przeszli na fuse.

Jak będziecie mieć jakieś problemy to postaram się wam pomóc, od dawna używam truecrypta.

----------

## 13Homer

 *SlashBeast wrote:*   

> Nie da się zaszyfrować już istniejących danych, bo najpierw truecrypt śmieciami zasypuje całą partycje na którym będą szyfrowane pliki.

 

Można zrobić tak, że kopiuje się dane na inna partycję, docelową formatuje z szyfrowaniem i kopiuje pliki z powrotem. Ja tak robiłem. Nie ma bata - musi pójść.

----------

## kacper

u mnie w najnowszym truecrypt nie ma innego systemu plików niż FAT, jeśli wybiorę NONE i sam utworze system to truecrypt nie widzi jej już jako partycja szyfrowana.

Tak się dzieje pod konsola i pod gui

----------

## SlashBeast

 *13Homer wrote:*   

>  *SlashBeast wrote:*   Nie da się zaszyfrować już istniejących danych, bo najpierw truecrypt śmieciami zasypuje całą partycje na którym będą szyfrowane pliki. 
> 
> Można zrobić tak, że kopiuje się dane na inna partycję, docelową formatuje z szyfrowaniem i kopiuje pliki z powrotem. Ja tak robiłem. Nie ma bata - musi pójść.

 

Nie rozumiemy się, chodziło mi o to, że nie ma żadnego automagicznego polecenia które jak wydasz "szyfruj /home" zaszyfruje CI pliki w home i zrobi z /home szyfrowaną partycje, trzeba normanie zaszyfrować partycje i dopiero na nie skopiować wcześniej zbackupowane pliki.

----------

## 13Homer

 *SlashBeast wrote:*   

>  *13Homer wrote:*    *SlashBeast wrote:*   Nie da się zaszyfrować już istniejących danych, bo najpierw truecrypt śmieciami zasypuje całą partycje na którym będą szyfrowane pliki. 
> 
> Można zrobić tak, że kopiuje się dane na inna partycję, docelową formatuje z szyfrowaniem i kopiuje pliki z powrotem. Ja tak robiłem. Nie ma bata - musi pójść. 
> 
> Nie rozumiemy się, chodziło mi o to, że nie ma żadnego automagicznego polecenia które jak wydasz "szyfruj /home" zaszyfruje CI pliki w home i zrobi z /home szyfrowaną partycje, trzeba normanie zaszyfrować partycje i dopiero na nie skopiować wcześniej zbackupowane pliki.

 

Tyle zrozumiałem, dlatego też podałem alternatywne rozwiązanie (na wypadek, gdyby ktoś naprawde musiał zaszyfrować istniejące dane).

----------

## Poe

musze odswiezyc temat, bo wczoraj jak sie kladlem spac natchnelo mnie (potrzeba konsumenta mnie natyka  :Wink:  ), ze skoro stawiam swiezy system, to warto pobawic sie szyfrowaniem, ale tylko /home, nic wiecej mi nie potrzeba. chce truecrypta, troche chce wziac z tego how-to https://forums.gentoo.org/viewtopic-t-607013.html, punkt 3. czy to wystarczy, zeby zaszyfrowac /home? kiedy bedzie pytal o haslo do odszyfrowania, jak to bedzie wygladac?

----------

## mbar

 :Rolling Eyes: 

cryptsetup luks > truecrypt

----------

## Poe

mbar,lakoniczne pytanie - dlaczego?  :Wink:  w czym jest lepszy? Poza tym, czy jest sens szyfrowac partycje na laptopie? Chodzi o żywotność baterii i obciążenie procesora. Jestem otwarty na wszelkie propozycje.

Pozdrawiam

Edit

Przejrzalem howto to luksa w/w i z tego co zrozumiałem i wydedukowałem to w moim przypadku wystarczy wykonać komendę szyfrujaca partycje i zmienić fstab. Dobrze zrozumiałem?

----------

## Poe

a jeszcze jedno takie pytanie, jak juz się skuszę i zdecyduję szyfrowanie + przechowywaniu kluczy na penie/sd, to co się stanie, gdy podczas pracy będę musiał wyciągnąć pamięć, bo na przykład ktoś będzie chciał zgrać zdjęcia z karty sd. oczywiście nie mówimy tu o szyfrowaniu całej partycji /, tylko /home, jezeli to ma jakies znaczenie.

----------

## SlashBeast

Na chłopski rozum klucz nie jest przy każdym I/O odczytywany z pena/karty/whatever, gdyby tak było był by to strzał w stope - wydaje mi się, że śmiało możesz wyciągać klucz.

----------

## TBH the lolmaker

Zarówno TC jak i dm-crypt nie korzystają z klucza, poza operacją mapowania szyfrowanego zasobu, więc śmiało odpinaj, testowane ;]

----------

## mbar

 *Poe wrote:*   

> Przejrzalem howto to luksa w/w i z tego co zrozumiałem i wydedukowałem to w moim przypadku wystarczy wykonać komendę szyfrujaca partycje i zmienić fstab. Dobrze zrozumiałem?

 

Tak, dokładnie. Wszystko załatwia device-mapper i dlatego to tak ładnie  :Smile: 

----------

## Poe

no to zobaczymy, jak z tym bedzie. glownie mi chodzi o wydajnosc i o ile więcej będzie żreć procka. bo jak na podobnym poziomie co bez szyfrowania, to mozna sie pobawić. jakiś szczególnie waznych danych nie mam, no ale po co IM ułatwiać cokolwiek  :Smile: 

----------

## Poe

ktos wie dlaczego kazda proba szyfrowania partycji konczy sie bledem pt. "command failed"? nie, nie ma zadnej literowki, skopiowalem komende z gentoo-wiki, pyta sie mnie czy na pewno chce to zrobic, wklepuje yes, po czym cryptsetup konczy prace z wynikiem command failed. korzystam z gentoo-livecd 2008.0-r1.

----------

## mbar

w kernelu może brakować odpowiedniego algorytmu szyfrowania.

----------

## Poe

tylko którego? postępuje dokładnie według how-to na wiki, wcześniej załadowałem wszystkie wymienione moduły szyfrowania, łącznie z tymi alternatywnymi (bo chciałem blowfishem szyfrować).

----------

## SlashBeast

Idz na łatwizne, użyj truecrypta.

----------

## Poe

poszedlem na poczatku. mielił mi i mielił, szyfrował całą partycje dlugo długo, a efekt byl taki, ze nie bylo nowego urzadzenia w /dev, które byloby zaszyfrowaną partycją. chyba sobie daruje to wszystko  :Wink: 

----------

## SlashBeast

Generalnie >truecrypt-4.3a nie robi urządzenia w /dev/mapper jak to było wcześniej, on używa teraz fuse, to nim robiesz "mount".

```
openvt -f -c 11 -- truecrypt -v /dev/sda7 /home -M noatime
```

Ja sobie takie cuś umieściłęm w /etc/conf.d/local.start, home montuje dopiero gdy podam haslo natomiast o to hasło pyta na 11 konsolce.

----------

## Poe

ta, tylko czemu moj fuse takie cos wykrzacza przy probie jego odpalenia?

```

 * Starting fuse ...

/etc/init.d/fuse: line 11: kldstat: command not found

 * 127 Error loading fuse module                                          [ !! ]

 * ERROR: fuse failed to start

```

----------

## SlashBeast

odpalenie service fuse imho zupełnie zbędne.

----------

## mbar

a wklej może to co wpisujesz do cryptsetup.

----------

## Poe

```

modprobe dm-crypt  

modprobe dm-mod    

modprobe serpent   

modprobe sha256 

modprobe blowfish

modprobe aes

modprobe aes_x86_64

```

po czym

```

cryptsetup -y --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sdaX

```

po czym pyta się mnie, czy na pewno chcę wykonać tę operację, wklepuje "y" i wywala command failed. 

próbowalem róznych wariacji, typu

```

cryptsetup -y --cipher blowfish -h sha256 -s 256 luksFormat /dev/sdaX

cryptsetup luksFormat -y --cipher serpent-cbc-essiv:sha256 --key-size 256 /dev/sdaX

itp

```

jak również próbowałem wersję z zapisem klucza do pliku, za każdym razem to samo. 

co do fuse, to jest mi ogolnie potrzebne, chociażby do ntfs3g, modprobe fuse wywala ze nei ma takiego modułu, a ztcw do ntfs3g potrzebny jest wlasnie fuse z sys-fs a nie z kernela bezposrednio. przynajmniej jeszcze do niedawna tak było.

----------

## c2p

```
 # emerge -pv sys-fs/fuse

...

Calculating dependencies... done!

[ebuild  N    ] sys-fs/fuse-2.7.3  495 kB

Total: 1 package (1 new), Size of downloads: 495 kB
```

```
~ # emerge -pv ntfs3g

...

Calculating dependencies... done!

[ebuild   R   ] sys-fs/ntfs3g-1.2812  USE="hal -debug -suid" 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB
```

ntfs3g działa z fuse z kernela, tego z portage nawet nie ma w zależnościach. Podczas montowania partycji z ntfs, automatycznie ładuje się moduł fuse.

----------

## Poe

jeszcze do niedawna bylo to w depsach. widocznie coś sie pozmienialo od ostatniego czasu. wkompiluje w kernela support dla fuse i zobaczymy co da. dzieki za podpowiedź.

----------

## mbar

jakiś śmieszny algorytm używasz  :Smile: 

w tej chwili "jedyny słuszny to" aes-xts-benbi, w ostateczności lrw zamiast xts.

```
cryptsetup -v --cipher aes-xts-benbi --key-size 256 luksFormat /dev/sdXX key_file
```

```
cryptsetup --key-file key_file luksOpen /dev/sdXX nazwa_mapowania
```

key size może być większy oczywiście.

u mnie tak bangla.

----------

## Poe

zaden smieszny, taki jak podany na gentoo-wiki  :Wink:  za chwile spróbuję tych Twoich zaklęć  :Smile: 

----------

## Poe

dalej to samo...

----------

## mbar

To spróbuj z mojego livecd http://technoportal.pl/files/mbar-livecd-amd64-0.42.tar.gz

choć najświeższe już nie jest, powinno zadziałać (tzn. u mnie działa :Smile: ). Nie ma trybu xts, jest tylko lrw.

----------

## magnum_pl

 *Poe wrote:*   

> ktos wie dlaczego kazda proba szyfrowania partycji konczy sie bledem pt. "command failed"? nie, nie ma zadnej literowki, skopiowalem komende z gentoo-wiki, pyta sie mnie czy na pewno chce to zrobic, wklepuje yes, po czym cryptsetup konczy prace z wynikiem command failed. korzystam z gentoo-livecd 2008.0-r1.

 

Poe jak masz dalej "command failed" to wpisz odpowiedź dużymi literami  :Wink:  tez sie na tym przejechalem.

----------

## Poe

 *magnum_pl wrote:*   

>  *Poe wrote:*   ktos wie dlaczego kazda proba szyfrowania partycji konczy sie bledem pt. "command failed"? nie, nie ma zadnej literowki, skopiowalem komende z gentoo-wiki, pyta sie mnie czy na pewno chce to zrobic, wklepuje yes, po czym cryptsetup konczy prace z wynikiem command failed. korzystam z gentoo-livecd 2008.0-r1. 
> 
> Poe jak masz dalej "command failed" to wpisz odpowiedź dużymi literami  tez sie na tym przejechalem.

 

heh, dobrze wiedzieć na przyszłość, na razie dałem sobie spokój z tym, ale dzięki za pomoc  :Smile: 

----------

