Re: Vershlüsselung von Fstplatten

From: till toenges <tt(at)kyon.de>
Date: Wed, 19 Apr 2006 17:34:41 +0200

Matthias Fechner wrote:
> Der Rechner steht zuhause in meinem eignen Netz und muss nach z.B.
> einen Stromausfall ohne Benutzereingriff wieder hochfahren.
> Wäre es z.B. möglich den entsprechenede Schlüssel im Netzwerk,
> USB-Stick, Diskette etc. abzulegen?
>
> Aber wahrscheinlich geht das dann nicht oder?

Ich habe hier schon seit ein paar Jahren mit verschlüsselten Platten zu
tun (für Backups), und ich bin gerade dabei etwas derartiges zu machen.

Der Plan sieht wie folgt aus:

- Wenn der Rechner bootet, muss ein Schlüssel (oder mehrere) von einem
USB Laufwerk (Stick, Platte, Handy, whatever) geladen werden.

- Danach kann das USB Laufwerk wieder entfernt werden.

- Für den Rest der Uptime bleibt der Schlüssel im System geladen, so
dass z.B. Platten ausgewechselt werden können.

Wenn dann also jemand das System klaut, hat er nicht den Schlüssel
dabei. Weil der nach dem Ausschalten nicht mehr lokal vorhanden ist, und
das USB Laufwerk von dem der geladen wurde auch nicht mehr am System hängt.

Das System kann dann zwar nicht völlig selbständig booten und mounten,
ist hier aber auch nicht erforderlich. Wenn sowas notwendig wäre, würde
ich möglicherweise über einen räumlich getrennten Schlüsselserver
nachdenken, von dem der Schlüssel geladen werden kann. Das ließe sich
dann so einrichten, dass der den Schlüssel nur an eine bestimmte IP
Adresse geliefert wird; oder vergleichbares. Dann kann man den Schlüssel
nicht von einem anderen Standort aus abrufen.

Natürlich muss man bei so einem System immer sicherstellen, dass der
Schlüssel nicht in fremde Hände gerät, bzw. dort nutzlos ist, und dass
man immer ein brauchbares Backup davon hat. Aber das sind ja längst
gelöste Probleme.

Till

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 19 Apr 2006 - 17:36:08 CEST

search this site