Re: Vershlüsselung von Fstplatten

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 20 Apr 2006 10:30:36 +0200 (CEST)

Oliver Brandmueller <ob(at)e-gitt.net> wrote:
> Oliver Fromme wrote:
> > Möglich wäre zum Beispiel, daß der USB-Stick oder die Dis-
> > kette nicht im selben Rechner steckt wie die verschlüsselte
> > Partition, sondern in einem speziell gesicherten Rechner,
> > auf den per Netz zugegriffen wird.
> >
> > Eine gute Idee wäre auch, mehrere Keys an verschiedenen Or-
> > ten abzulegen, die nur in Kombination zur Entschlüsselung
> > herangezogen werden können. Fehlt auch nur einer der Teil-
> > schlüssel, kommt man an die Daten nicht heran.
> >
> > Man kann auch verschiedene Quellen zur Erzeugung des Keys
> > (bzw. eines Teilschlüssels) heranziehen, die bei Entwenden
> > des Rechners nicht mehr vorhanden sind. Zum Beispiel die
> > ID eines Accesspoints oder die MAC-Adresse eines Switches.
> > Clever wäre auch, die Koordinatenmeldung eines GPS-Gerätes
> > mit einzubeziehen. Oder ein Bild, das man auf einem USB-
> > Scanner bereitgelegt hat und von dem bestimmte Punkte ab-
> > getastet werden. Es gibt tausend Möglichkeiten.
>
> Das ist hochtechnisch, komplex zu veranstalten, nicht so leicht zu
> brechen für jemanden, der die Platte klaut. Dummerweise bleibt ein
> Grundproblem auch danach noch bestehen:
>
> Wenn der Rechner automagisch damit hochfährt und die Daten folglich nach
> dem Booten zugreifbar sind, dann habe ich unglaubliche Zeit und einen
> hohen Aufwand darein investiert, daß der Junkie, der den Rechner klaut,
> um sich Stoff zu kaufen (Ironiemarker, Achtung - nur ein Beispiel) und
> der Heinzel, der das geklaute Ding dann kauft nicht zufällig meinen
> Lebenslauf lesen.
>
> Die Leute, die aber sinnvoll etwas mit solchen Daten anfangen können und
> sie ggf. gezielt haben wollen, nutzen den nächsten ssh-Bug, ein
> wildgewordenes PHP-Script im Websever, den Bug im Browser,
> eingeschleusten Code im mutt-Source, kommen durchs geknackte WLAN und
> hängen sich ans interne NFS oder was auch immer. Diese Gefahr würde ich
> heutzutage in den meisten Fällen als deutlich größer ansehen.

Ich gebe Dir durchaus Recht. Im konkreten Fall muß jeder
selbst entscheiden, wieviel seine zu sichernden Daten ihm
selbst und eventuellen Angreifern wert sind, wie sehr er
seinen vorhandenen Sicherheitsmaßnahmen (z.B. Firewall)
traut, und wieviel Aufwand er bereit ist in weitere Sicher-
heitsmaßnahmen zu stecken, die dazu orthogonal sind.

Mit meiner Antwort wollte ich Matthias lediglich ein paar
Möglichkeiten anhand von Beispielen aufzeigen. Was sinn-
voll umzusetzen ist, muß jeder für sich selbst entschei-
den. (Das Beispiel mit dem Scanner war schon bewußt als
ein etwas ungewöhnliches gewählt, obgleich es durdchaus
nicht schwer zu implementieren ist: In 'nem Skript einmal
scanimage aufrufen, per pbmtools mehrere Rechtecke heraus-
schnippeln, deren Mittelwerte bilden und auf eine Dezimal-
stelle runden.)

Mir persönlich geht es durchaus ähnlich wie Matthias. Mein
Hauptarbeitsrechner ist ein Notebook, also ein sehr porta-
bles Gerät, das im Falle eines Einbruchs mit Sicherheit weg
ist. Darauf befinden sich persönliche Daten, die ich nicht
in den Händen fremder Personen sehen möchte -- weder eines
Junkies noch eines Kriminellen, der mir durch Ausnutzung
der Informationen (z.B. Paßwörter oder PINs aus dem Swap,
was weiß ich) ernsthaft schaden könnte.

Andererseits muß mein Notebook nicht unkontrolliert hoch-
fahren können, weshalb es für mich kein Problem ist, beim
Booten manuell den entsprechenden (Teil-)Schlüssel einzu-
geben. Hier ist die Situation bei Matthias offenbar eine
andere. Wie gesagt: Ich habe nur seine Frage beantwortet
und technische Möglichkeiten aufgezeigt. Entscheiden muß
er selbst. Es mag durchaus sein, daß er gute Gründe hat,
es auf die eine oder andere Weise anzugehen, die wir für
unsinnig halten. Wie dem auch immer sei: FreeBSD gibt
ihm jedenfalls das Handwerkszeug, es umzusetzen. :-)

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"Python tricks" is a tough one, cuz the language is so clean. E.g.,
C makes an art of confusing pointers with arrays and strings, which
leads to lotsa neat pointer tricks; APL mistakes everything for an
array, leading to neat one-liners; and Perl confuses everything
period, making each line a joyous adventure <wink>.
        -- Tim Peters
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 20 Apr 2006 - 10:32:29 CEST

search this site