# home Verzeichnis verschlüsseln - automatisch?!

## Ezekeel

Hallo,

wieder einmal muss ich eure Hilfe in Anspruch nehmen, da ich keinen geeigneten Thread für mich hier gefunden habe. Auch konnte ich in google nichts finden so daß ich hoffe, dass ihr es mir nicht übel nehmt wenn ich schon wieder einen Thread aufmache. 

Und zwar würde ich wenn es möglich wäre gerne mein home oder zumindest einzelne Verzeichnisse daraus verschlüsseln. Das beste wäre wenn die Daten nur dann verschlüsselt wären wenn ich nicht angemeldet bin oder der Bildschirm locked ist. 

Ich nutze KDE und suche daher eine möglichkeit wenn ich mich in KDE oder auch in der Konsole (ohne X, bash, etc.pp) einlogge, dass automatisch die Daten entschlüsselt und nach dem Abmelden oder wenn der Bildschirm gesperrt wird wieder verschlüsselt werden?! Ist das ohne weiteres möglich?! 

Danke mal wieder für die Antworten

----------

## meyerm

Naja, es wird nie ganz automatisch gehen, Du musst immer ein Passwort eingeben. Aber such doch dennoch mal nach dem Stichwort "cryptoloop".  :Smile: 

----------

## Ezekeel

sehe ich das falsch oder wird cryptoloop nicht in neher Zukunft aus dem Kernel geschmissen?!? 

 *Quote:*   

> Nachdem cryptoloop aus dem Kernel verschwinden soll und die Implementierung sowieso als problematisch gilt

 

Zugehörige Thread 

 *Quote:*   

> Ein AF schreibt "Wie HeiSec berichtet, hat Andrew Morton bekanntgegeben, dass er vor hat, die Cryptoloop-Implementation für verschlüsselte Loopback-Filesysteme aus der 2.6er-Linie des Linux-Kernels zu entfernen. Grund ist ein einer Backdoor gleichender Designfehler. Das Modul dm-crypto soll die Nachfolge antreten."

 

 zugehöriger Artikel 

nutze übrigen 2.6.6-rc2 development sources!

gibt es denn keine Tools die das auch relativ einfach ermöglichen?! Wenn ich mir den oben aufgeführten Thread zu DM-Crypt anschaue überlge ich mir ob ich mir nich eine Hot Swap HD kaufe und die immer aus dem Rechner rausziehe wenn ich sie nicht nutze!!   :Confused: 

----------

## Haldir

dm-crypt läuft schon ziemlich stabil, ist nur nicht sonderlich ressourcen schonend und um einiges langsamer als z.b. loop-aes in linux 2.4

----------

## Ezekeel

jo hab gerade noch etwas auf dm-crypt rumgelesen und denke nachdem ich das komplette forum abgegrast habe, dass dies wohl die einzige Möglichkeit ist eine effektive Verschlüsselung hinzubekommen?! 

In dem Fall muss ich das wohl dann aufs Wochenende verschieben und mir Gedanken darüber machen ob es denn wirklich auch notwendig ist wenn es tatsächlich die Ressource so beansprucht?!

Bis dahin danke schonmal für die Antworten - und sollte noch jemand etwas einfallen wie man das einfacher hinbekommt dann wäre ich wirklich sehr dankbar darüber!   :Wink: 

----------

## Aldo

Was mich an cryptoloop stört, ist, daß man sich quasi 2x anmelden muß.

Einmal das cryptoloop beim mounten und dann ja noch die normale Useranmeldung.

Gibt es nicht irgendwas, was sich bein einloggen automatisch mitmountet und beim ausloggen unmounted?

Also ohne daß man 2x ein Passwort etc. eingeben muß.

Ob jetzt bei X oder in der Konsole...

----------

## derelm

also das ist jetzt wirklich nur ein schuss ins blaue, aber kann es nicht sein, dass man mittels pam auch gleichzeitig mit dem login das cryptofs mounten könnte?

pam ist doch quasi die eierlegendewollmilchsau

----------

## phixom

Es gibt die möglichkeit, den Key/Passwort beim mounten von Cryptolooppartitionen von einem externen Medium, z.b. USBStick lesen zu lassen. Somit solltest du um die Eingabe von zumindest einem Passwort herumkommen. Den Stick kann man clevererweise mitnehmen, wenn man nicht am Rechner ist und er muss ja auch nur zum mounten angesteckt sein. Wenn du sehr paranoisch bist, kannst du auch einfach einen "Cardreader" installieren, der sich auf sehr kleine Flashspeicherkarten z.B. SD oder MMC versteht. Diese Karte ist schnell entfernt und heruntergeschluckt. Die Magensäure tut ihr übriges. Oder du legst sie für ein paar Sec in die Mikrowelle  :Smile: 

phixom

----------

## ian!

 *phixom wrote:*   

> Es gibt die möglichkeit, den Key/Passwort beim mounten von Cryptolooppartitionen von einem externen Medium, z.b. USBStick lesen zu lassen. Somit solltest du um die Eingabe von zumindest einem Passwort herumkommen. Den Stick kann man clevererweise mitnehmen, wenn man nicht am Rechner ist und er muss ja auch nur zum mounten angesteckt sein.

 

Genau das habe ich so realisiert. Per Initscript funktioniert das auch alles wunderbar automatisch. Man muss beim Boot halt nur den USB-Stick haben und anstecken. Und vorallem ist die Passphrase somit um einiges länger zu gestalten, als wenn man ein Passwort von Hand vergibt. (Bei mir z.B. 4096 Zeichen)

Im übrigen ist die Verschlüsselung nicht so ein enormer Ressourcenfresser, wie ich vorher angenommen hatte. Man bemerkt es lediglich beim kopieren großer Dateien in das cryptoloop.

Eingerichtet war es bei mir (inkl. vorherigem Backup, Tests und zurückkopieren der Daten in das cryptoloop (15GB Nutzdaten brauchen so ihre Zeit)) in etwa zwei Stunden erledigt.

----------

## meyerm

Hmm  :Smile:  Und was passiert wenn Du Deinen USB-Stick nicht dran hast? Sollte es mit Hotplug nicht auch moeglich sein, erst beim Einstecken des Sticks alles geladen wird? Und beim Abstecken automatisch wieder entladen?

----------

## ian!

 *meyerm wrote:*   

> Hmm  Und was passiert wenn Du Deinen USB-Stick nicht dran hast?

 

Dann wird das cryptohome nicht gemounted und /home bleibt leer.

 *meyerm wrote:*   

> Sollte es mit Hotplug nicht auch moeglich sein, erst beim Einstecken des Sticks alles geladen wird? Und beim Abstecken automatisch wieder entladen?

 

Diesen Mechanismus bei anstecken des Sticks auszulösen ist möglich. Allerdings sehe ich Probleme bei deiner Idee das zu unmounten, wenn der Stick abgezogen wird. Denn was, wenn noch Dateien aus dem Mount geöffnet sind wenn der Stick abgezogen wird? Vorallem möchte ich den Stick nicht permanent am Notebook angesteckt haben. (Der Stick könnte ja vielleicht von einer Person unbemerkt kopiert werden. Ich wette, daß bei einer solchen Lösung der Stick nicht jedensmal abgezogen wird, wenn man den Raum verlässt. (Genau so eine Abart, wie das nicht Sperren eines Arbeitsplatzes.))

Vorallem: wo soll bei dieser Lösung der Vorteil liegen? Um an die Festplatte ranzukommen, müßte diese ausgebaut und an einen anderen Rechner gehängt werden. Wenn dann dort der Schlüssel nicht vorhanden ist, so sind die Daten nicht entschlüsselbar.

----------

## meyerm

 *ian! wrote:*   

> Vorallem: wo soll bei dieser Lösung der Vorteil liegen? Um an die Festplatte ranzukommen, müßte diese ausgebaut und an einen anderen Rechner gehängt werden. Wenn dann dort der Schlüssel nicht vorhanden ist, so sind die Daten nicht entschlüsselbar.

 

Ja, das ist natuerlich richtig. Die Faulheit den Stick nicht anbzuziehen wuerde eh gewinnen. Und zudem muesste man sich dann stets abmelden wenn mein sein gesamtes /home verschluesselt hat...

Hast Du selbiges schon mit 2.6er dm_crypt gemacht?

----------

## Starfox

 *ian! wrote:*   

> 
> 
> Vorallem: wo soll bei dieser Lösung der Vorteil liegen? Um an die Festplatte ranzukommen, müßte diese ausgebaut und an einen anderen Rechner gehängt werden. Wenn dann dort der Schlüssel nicht vorhanden ist, so sind die Daten nicht entschlüsselbar.

 

[Vorsicht Spass!]

Sag mal was machst du eigentlich wenn dein USB kaputt geht. ICh hoffe doch du hast nen backup schlüssel   :Wink: 

(womöglich noch auf der verschlüsselten partition   :Laughing: 

sicher ist schließlich sicher)

bye fox

----------

## ian!

 *meyerm wrote:*   

> Hast Du selbiges schon mit 2.6er dm_crypt gemacht?

 

Nein. Bisher habe ich das unter 2.6 im Cryptoloop liegen.

 *Starfox wrote:*   

> Sag mal was machst du eigentlich wenn dein USB kaputt geht. ICh hoffe doch du hast nen backup schlüssel  

 

Sicher. Bei diesem Preis ist das ja nicht das Problem.

 *Starfox wrote:*   

> (womöglich noch auf der verschlüsselten partition  
> 
> sicher ist schließlich sicher)

 

Genau das auch noch mal zusätzlich. Schliesslich ist der andere Stick vom selben Hersteller und somit evtl. mit der gleichen Lebensdauer versehen.

----------

## equinox0r

 *ian! wrote:*   

> .. und somit evtl. mit der gleichen Lebensdauer versehen.

 

*nachdenk* ... und den selben fehlern ... 

wärs in dem fall dann nicht besser auf versch. typen/hersteller zu testen?

----------

## ian!

 *equinox0r wrote:*   

>  *ian! wrote:*   .. und somit evtl. mit der gleichen Lebensdauer versehen. 
> 
> *nachdenk* ... und den selben fehlern ... 
> 
> wärs in dem fall dann nicht besser auf versch. typen/hersteller zu testen?

 

Für den Fall, daß Stick 1 ausfällt, habe ich ja Stick 2. Für den (wie ich finde) eher unwahrscheinlichen Fall, daß Stick 2 am selben Tag ausfällt, wie Stick 1 (der ja wenn, dann sicherlich durch mechanische Belastungen ausfällt), habe ich ja immer noch ein Backup des Keys.

Insofern halte ich das für hinreichend. Ob ich damit richtig liege, wird die Praxis zeigen müssen.

----------

## Starfox

hmm, alles in allem finde ich diese variante trotzdem suboptimal (3 fache verlustgefahr, gefahr des mechanischen defekts, ...)! besser wäre da wohl ein USB Fingerabdruckscanner im Pocketformat, wobei wenn ich dann wieder mal holz säge ...   :Embarassed: 

bye fox

----------

## amne

Wie wärs mit ausdrucken und deponieren des Schlüssels an einem sicheren Platz? Nein, das ist kein Scherz.  :Wink: 

----------

## Freiburg

Hi,

ich hab mich damit nur kurz beschäftigt (hab aufgehört weil ich irgendwas von Datenverlusten in Verbindung mit Journaling FS gelesen habe) aber ich glaube was du willst läßt sich am besten mit PAM erledigen

http://freshmeat.net/redir/qryptix/42025/url_homepage/qryptix

http://freshmeat.net/redir/pam-mount/20226/url_homepage/index.html

ansonsten www.freshmeat.net da liegen haufenweise interressante Sachen rum, man muß nur wissen was man sucht  :Wink: 

Grüße

Jens

----------

## meyerm

 *Freiburg wrote:*   

> ich hab mich damit nur kurz beschäftigt (hab aufgehört weil ich irgendwas von Datenverlusten in Verbindung mit Journaling FS gelesen habe)

 

Wie? Was? Wo?   :Shocked: 

Hast Du da noch mehr Infos? Wo / wann hast Du da was gelesen?

Danke Dir!

----------

## Freiburg

habs jetzt auf die schnelle nicht mehr gefunden, es ging auf jedenfall um das Szenario, das man auf einem Journaling FS eine große Datei hat in der dann noch ein FS ist welches man über cryptoloop einbindet. Dabei soll es dann Probleme geben da die Pages erst geschrieben werden wenn sie vom Cache als Dirty makiert werden. Wie gesagt ich muß nochmal suchen, mir ist es aber damals auch passiert das der Inhalt der Datei zweimal nicht als FS erkannt wurde und ich "die Datei neu formatieren" mußte

----------

## slick

 *Quote:*   

> es ging auf jedenfall um das Szenario, das man auf einem Journaling FS eine große Datei hat in der dann noch ein FS ist welches man über cryptoloop einbindet. Dabei soll es dann Probleme geben da die Pages erst geschrieben werden wenn sie vom Cache als Dirty makiert werden. 

 

Also ich hatte die Probleme genau umgekehrt. Ich hatte per cryptoloop die Partition verschlüsselt und die ist dann ab und zu mal mit fs-fehlern abgekackt. immer paar wenige daten weg. seit ich auf der partition eine große datei habe die via cryptoloop läuft, läufts anscheinend wesentlich besser.

----------

## Freiburg

hmm bei  mir wars andersrum, auf jeden Fall sollte man das denke ich erstmal prüfen, bevor einem Daten verloren gehen...

----------

## meyerm

Also zusammenfassend: alle die Probleme hatten, haben diese mit "cryptoloop" gehabt, richtig? Mit dm-crypt gab es bisher keine Probleme?

----------

## ian!

 *meyerm wrote:*   

> Also zusammenfassend: alle die Probleme hatten, haben diese mit "cryptoloop" gehabt, richtig? Mit dm-crypt gab es bisher keine Probleme?

 

Also ich hatte bisher keine Probleme mit cryptoloop. Dabei ist es täglich im Einsatz.

----------

## tuxophil

 *derelm wrote:*   

> also das ist jetzt wirklich nur ein schuss ins blaue, aber kann es nicht sein, dass man mittels pam auch gleichzeitig mit dem login das cryptofs mounten könnte?
> 
> pam ist doch quasi die eierlegendewollmilchsau

 

Hallo und 'tschuldigung wenn ich etwas spät hier einfalle um Werbung zu betreiben. Falls noch ein paar von euch Interesse an einem automatisierten Mounten mittels pam_mount haben, könntet ihr vielleicht 'nen Blick auf mein diesbezügliches HOWTO werfen. Es ist leider in Englisch, ich könnte es allerdings auch übersetzen (falls nötig) und hier posten.

Edit: hatte den Link vergessen...Last edited by tuxophil on Sun Jan 09, 2005 8:57 pm; edited 1 time in total

----------

## meyerm

Sehr gerne  :Smile: 

Nur wo ist es?   :Wink: 

----------

## tuxophil

 *meyerm wrote:*   

> Nur wo ist es?  

 

Da hab' ich doch glatt den Link vergessen  :Embarassed: 

https://forums.gentoo.org/viewtopic.php?t=274651

So ist's besser glaub' ich   :Very Happy: 

----------

## meyerm

 *gschintgen wrote:*   

> https://forums.gentoo.org/viewtopic.php?t=274651
> 
> So ist's besser glaub' ich  

 

Deutlich   :Razz: 

----------

