© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Matthias Fechner schrieb:
> Hallo Liste,
>
> ich mache mir gerade Gedanken über das Verschlüsseln mancher Teile
> meiner Festplatte (Partitionen).
> Was ich verhindern möchte, das wenn jemand die Festplatte entwendet er
> an Daten kommen kann.
>
> Allerdings habe ich damit ein kleines Problem in der Idee.
> Der Rechner steht zuhause in meinem eignen Netz und muss nach z.B.
> einen Stromausfall ohne Benutzereingriff wieder hochfahren.
> Wäre es z.B. möglich den entsprechenede Schlüssel im Netzwerk,
> USB-Stick, Diskette etc. abzulegen?
>
> Aber wahrscheinlich geht das dann nicht oder?
>
> Gruss
> Matthias
>
Hallo Matthias.
Genau solche Gedanken mache ich mir auch und verfolge gespannt die
Diskussionen und Entwicklungen um GELI in FBSD. Es ist möglich, einen
Schlüssel ohne 'Passphrase' auf einem separaten Laufwerk zu halten,
einer Diskette oder eben einem USB-Stick. Theoretisch. Leider habe ich
es praktisch noch nicht durchgespielt, kann Dir dazu auch keine
vernünftigen Auskünfte geben. Die Manpages zu geli/geom sollten aber
hilfreich sein.
Ein anderes Problem ist der Diebstahl eines Gerätes. Wenn der Rechner
ohne Hilfe eines Administrators ein kryptographisch aufbereitetes
Laufwerk bzw. eine Partition einbinden soll, muß dieser Server/Computer
irgendwie an seinen Schlüssel gelangen. Steckt ein USB Stick oder eine
Diskette mit ungesichertem Schlüssel im System, kann dieser entwendet
werden! Das Verfahren ist also unsicher. Muß eine Passphrase eingegeben
werden, ist natürlich eine Fernsteuerung bzw. ein autonomes Hochfahren
nach Ausfall nicht möglich. Und meines Wissens gibt es für FBSD noch
keine GEOM gestützte Datenverschlüsselung bzw.
Partitionsverschlüsselung, die via Schlüsselserver funktioniert. ein
solches System hätte eben auch Schwachstellen, denn bis jemand bemerkt,
daß Daten gestohlen wurden und ein entsprechender Sperrvermerk am
Schlüsselserver eingetragen worden wäre, könnte der Datendieb den
Rechner an anderer Stelle innerhalb eines Netzes wieder in Betrieb
nehmen und sich so Zugang zu den Daten verschaffen, weil der Computer
einen validen Schlüssel beantragt und erhält.
Die Thematik ist nicht ganz trivial, ich stolpere selber zu oft über
logische Fehler, die ich mache. Also Vorsicht!
Eine sichere Methode wäre eine individuelle, an ein Login-Paßwort
gekoppelte Verschlüsselung, die auf User-Ebene funktioniert und vom
Betriebssystem schon mit dem Login angeboten wird. Das wird aber daran
scheitern, daß es keinen einheitlichen Standard gibt, es gibt ja lokale
Laufwerke, SAMBA Laufwerke und NFS Laufwerke, die hardwired oder via AMD
eingebunden sein können.
Vielleicht reicht es Dir auch, einen kleinen Bereich statischer Größe
auf der Platte einzurichten (eine Datei), die dann via MD verschlüsselt
ins System als Partition/Laufwerk eingebunden wird - was allerdings
root-Rechte mit GELI verlangt (mount). Vielleicht hilft hier 'sudo' weiter.
Grüße,
Oliver
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 19 Apr 2006 - 16:15:58 CEST