# Lästige Crypto-Root

## ZX-81

Nachdem US-Gericht deutet Verschlüsselungsprogramm auf Computer als Verbrechensindiz sehe ich mich in meiner Entscheidung bestärkt, alle meine Systeme auf eine verschlüsselte Wurzelpartition umzustellen. Das hat auch alles ganz prima funktioniert. Im Alltagsbetrieb ist es jedoch etwas lästig, dass nach jedem Reboot das Passwort direkt am Server eingetippt werden muss. Wie aufwendig ist es denn, sshd in die Ramdisk zu packen und darüber cryptsetup zu aktivieren?

----------

## schachti

 *ZX-81 wrote:*   

> 
> 
> Nachdem US-Gericht deutet Verschlüsselungsprogramm auf Computer als Verbrechensindiz sehe ich mich in meiner Entscheidung bestärkt, alle meine Systeme auf eine verschlüsselte Wurzelpartition umzustellen.
> 
> 

 

Hmm, ich verstehe die Begründung nicht - wenn dieser Bericht irgend jemanden zu etwas bewegt, dann doch eher dazu, Verschlüsselungssoftware nicht einzusetzen? (BTW: Ich habe auf meinen Rechnern / auch aus Prinzip verschlüsselt.)

----------

## ZX-81

 *schachti wrote:*   

> Hmm, ich verstehe die Begründung nicht - wenn dieser Bericht irgend jemanden zu etwas bewegt, dann doch eher dazu, Verschlüsselungssoftware nicht einzusetzen? (BTW: Ich habe auf meinen Rechnern / auch aus Prinzip verschlüsselt.)

 

In der News ging es um PGP und wenn es jetzt schon relevant ist, welche Programme auf einem Rechner installiert sind, dann reicht eine verschlüsselte Datenpartition nicht. Mit einer verschlüsselten Root ist nur noch klar, dass Linux auf dem Rechner installiert ist.

----------

## l3u

Die Amis spinnen einfach. Sonst nix.

----------

## schachti

 *ZX-81 wrote:*   

> 
> 
> Mit einer verschlüsselten Root ist nur noch klar, dass Linux auf dem Rechner installiert ist.
> 
> 

 

Wenn das Vorhandensein eines Verschluesselungstools als Indiz fuer eine Straftat gewertet wird, dann ist ja die Existenz einer kompletten verschluesselten Partition schon fast der Beweis einer Straftat.  :Wink: 

----------

## l3u

Wenn man ne Straftat vorhat, dann kann man sich das Verschlüsseln eigentlich auch sparen. Weil Wenn der ganze Computer konfisziert wird, dann muß man z.B. nicht eine RSA-Verschlüsselung knacken (was utopisch wäre), sondern nur die Passphrase. Und _das_ ist nur eine Frage der Zeit.

----------

## slick

 *Libby wrote:*   

> .... sondern nur die Passphrase. Und _das_ ist nur eine Frage der Zeit.

 

Auch RSA zu knacken ist nur eine Frage der Zeit. Die Frage ist ob die aufgewendete Zeit im Nutzen zu den entschlüsselten Daten steht. Sicherlich braucht man für RSA ein paar Millionen Jahre, für ein gutes Passwort aber wahrscheinlich auch ein paar dutzend. Und ich glaube nicht das das jemand wirklich ernsthaft macht. Da werden paar Wörterbuchattacken gemacht und wenn das nicht klappt stehen die Changen für den Entschlüssler schon verdamt schlecht das rauszubekommen. (Von etwaigen Implementierungsfehlern des Algo. mal abgesehen.)

----------

## mikkk

 *Quote:*   

> 
> 
> .... sondern nur die Passphrase. Und _das_ ist nur eine Frage der Zeit.
> 
> 

 

Das kommt auf das Passwort an. Z.B. bei loop-AES braucht man mindestens 20(!) Zeichen als Passphrase. Wenn das nicht langt, kann man das Passwort auch mehrfach verschlüsseln. Das verringert dann die Zahl der Wörter, die pro Sekunde ausprobiert werden können.

IMHO ist das Auch von Geheimdiensten nicht zu knacken.

mikkk

----------

## mikkk

@ZX-81

Hast Du mal an booten übers Netz gedacht? Dann müsstest Du nur an einem Rechner ein Passwort eintippen. Um die Datenpartitionen auf den so gebooteten Rechnern kann man dann ja per gesendetem Key (welcher ja sicher auf dem von-Hand-Recher liegt) entschlüsseln.

Wenn man das auch noch automatisiert, sollte das in Kombination mit Wake-On-Lan doch eine ziemlich praktische Sache sein: Man startet einen Rechner, tippt ein Passwort ein und hat dann Zugriff auf beliebig viele verschlüsselte Rechner im Lan  :Smile: .

Oder hab ich irgendwo einen Denkfehler gemacht?

mikkk

----------

## schachti

@mikkk: Ich glaube, genau das war seine Frage...  :Shocked: 

Wenn er die root-Partition verschlüsselt, kann er von der nicht den sshd starten - das heißt er muß den sshd in eine Ramdisk kriegen, von wo er nach dem booten automatisch gestartet wird, so daß man sich per ssh anmelden und das Paßwort eintippen kann.

Ich wäre übrigens auch sehr an einer praktikablen Lösung interessiert.  :Wink: 

----------

## mikkk

```

Ich glaube, genau das war seine Frage...

```

Ich hatte das so verstanden, dass die zu erweiternde Ramdisk im Moment als initrd auf dem unverschlüsselten /boot auf dem Server liegt. Mein Gedanke war dann im Wesentlichen, die lokale initrd durch ein Netzwerkboot zu ersetzen. Es gibt dann also keine /boot mehr. Das ist IMHO weniger Aufwand und flexibler.

Wenn das aber schon von Anfang an geplant war, hab ich halt das Rad nochmal neu erfunden  :Wink: .

mikkk

----------

## schachti

Ah, ich glaube, ich habe Dich falsch verstanden, sorry.

----------

## ZX-81

 *mikkk wrote:*   

> @ZX-81
> 
> Hast Du mal an booten übers Netz gedacht? Dann müsstest Du nur an einem Rechner ein Passwort eintippen. Um die Datenpartitionen auf den so gebooteten Rechnern kann man dann ja per gesendetem Key (welcher ja sicher auf dem von-Hand-Recher liegt) entschlüsseln.
> 
> Wenn man das auch noch automatisiert, sollte das in Kombination mit Wake-On-Lan doch eine ziemlich praktische Sache sein: Man startet einen Rechner, tippt ein Passwort ein und hat dann Zugriff auf beliebig viele verschlüsselte Rechner im Lan .
> ...

 

Interessante Idee, hat aber wohl den Nachteil dass dann das Partitionskennwort unverschlüsselt über das Boot-Protokoll geht. 

Oder habe ich jetzt irgendwo einen Denkfehler gemacht?

----------

## Sujao

@ZX-81: Darf ich fragen welchen Guide du zur root-encryption benutzt hast oder kurz deine Vorgehensweise skizieren, falls du es selber gemacht hast?

----------

## Haldir

Ich hab das in einer Firma (inkl. Crypto root usw) über so einen SSH Serial Port Switch realisiert, dürfte für den heimgebrauch aber overkill sein, da so ein Ding zuviel Geld kostet (+/-1500 Euro).

Alternativ würde ich Gumstix vorschlagen (www.gumstix.com), gleicher Job, ungefähr 200 Euro

----------

## mikkk

 *Quote:*   

> 
> 
> Interessante Idee, hat aber wohl den Nachteil dass dann das Partitionskennwort unverschlüsselt über das Boot-Protokoll geht. 
> 
> 

 

Ist das denn wirklich ein Problem? Um das ausnutzen zu können, muss man wohl den Bootvorgang abhören. Wenn man nicht gerade das Kabel anknabbert, stelle ich mir das ziemlich aussichtslos vor.

Allerdings hat man nach dem booten ja einen vollständiges Linux. Man kann also auch erst booten, und das mounten dann über ssh machen (lassen).

Eine Anleitung zum booten übers Netz gibt es hier. Ich hab sie zwar noch nicht ausprobiert, aber sie scheint recht ausführlich zu sein.

mikkk

----------

## ZX-81

 *Sujao wrote:*   

> @ZX-81: Darf ich fragen welchen Guide du zur root-encryption benutzt hast oder kurz deine Vorgehensweise skizieren, falls du es selber gemacht hast?

 

Meine erste Crypto-Root habe ich wie in SECURITY Encrypting Root Filesystem with DM-Crypt beschrieben aufgesetzt. Nachdem das Erstellen der initrd recht aufwändig und fehleranfällig ist, habe ich mir dafür ein Script gemacht. Die aktuelle Version des Scripts findest Du hier:Script zum Erstellen der initrd für verschlüsselte Root

----------

## schachti

 *ZX-81 wrote:*   

> 
> 
> Im Alltagsbetrieb ist es jedoch etwas lästig, dass nach jedem Reboot das Passwort direkt am Server eingetippt werden muss. Wie aufwendig ist es denn, sshd in die Ramdisk zu packen und darüber cryptsetup zu aktivieren?
> 
> 

 

Hast Du dafür inzwischen eine praktikable Lösung gefunden?

----------

## ZX-81

Leider nein  :Sad: 

----------

## slick

Also eine evt. Lösungsmöglichkeit kam mir grad spontan in den Sinn, evt. müßte weiter darüber nachgedacht werden:

usermode-linux (o.ä.) - d.h. die Maschine bootet eine Minimal-Installation, welche den SSH-Server startet und wenn die verschlüsselte Partition erfolgreich gemountet wurde startet eine virtuelle Maschine, aus der verschlüsselten Partition, welche dann der "richtige" Server ist.

----------

