Re: [OT] GELI in einer FreeBSD VM unter Parallels

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 5 Mar 2007 18:06:00 +0100 (CET)

André Braselmann wrote:
> als Besitzer eines MacBooks und bekennender Paranoiker möchte man seine
> Daten ja gerne verschlüsseln. Die OSX Encryption kann leider nur 128BIT
> AES

Kannst Du das »leider nur« stichhaltig begründen? Für eine
Dateisystemverschlüsselung ist AES128 vollkommen ausrei-
chend. Manche Leute würden es sogar als Overkill bezeich-
nen und eher Blowfish vorziehen (aus Performancegründen).

> und unterliegt noch nicht mal einem Exportverbot der amerikansichen
> Freunde.

Das ist jetzt aber kompletter Humbug, in jeder Hinsicht.

> Abgesehen davon reicht ein verschlüsseltes HomeDir nicht aus.

Da gebe ich Dir recht. Mindestens ebenso wichtig ist es,
swap, /tmp u.ä. zu verschlüsseln. Bestenfalls natürlich
die gesamte Festplatte, aber das muss man im Einzelfall
abwägen; es hängt u.a. auch von der Art der Programme ab,
die man verwendet, mit was für Daten diese operieren, und
wo sie diese (temporär oder dauerhaft) speichern.

> Man kann zwar auch AES128 DiskImages anlegen aber irgendwie ist das
> nicht so prall.
>
> Deshalb der Gedanke: Da GBDE u. GELI ja "relativ" sicher sind und
> (zumindestens GELI) einigermassen performant ist:

Worauf stützt sich das »relativ sicher« im Vergleich zur
OSX Encryption? GELI verwendet bei AES ebenso 128-Bit-
Schlüssel, die Dir ja offenbar viel zu unsicher sind.

> Man legt eine in
> ParallelsDesktop eine VM an, macht mit GELI die üblichen
> Verschlüsselungen auf die Devices und gibt mittels Samba die Sachen
> wieder frei für OS X. Klar beim einshcalten der VM muss man die Schlüsel
> wieder freigeben und Performance zieht es auch.
>
> Frage: Ist der Gedanke grunsätzlich daneben? Oder wird durch das Image
> GELI/GBDE kompromittiert?

Es klingt so, als wenn es theoretisch funktionieren müsste.
Allerdings wird es von der Geschwindigkeit her ziemlich
unbefriedigend sein. Darüberhinaus muss man sich über-
legen, welche Komponenten alle mit den entschlüsselten
Daten in Kontakt kommen, und ob auf diesem Weg möglicher-
weise eine Privilege-escalation möglich sein könnte.
Immerhin ist das Konstrukt nicht gerade trivial.

Außerdem kannst Du auf diese Weise nicht den swap ver-
schlüsseln, was den Nutzen einer Festplattenverschlüsselung
erheblich verringert.

Wenn Du im Browser die PIN fürs Online-Banking eingibst,
Dein Passwort für den eBay-Zugang, ein Porno-Angebot oder
sonstwas, dann ist die Chance, dass diese Daten im Swap
auf der Platte landen, unendlich viel höher als die,
dass jemand AES128 »knackt«. Insofern sollten die Prio-
ritäten eigentlich klar sein ... ;-)

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
Any opinions expressed in this message are personal to the author and may
not necessarily reflect the opinions of secnetix GmbH & Co KG in any way.
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"We, the unwilling, led by the unknowing,
are doing the impossible for the ungrateful.
We have done so much, for so long, with so little,
we are now qualified to do anything with nothing."
        -- Mother Teresa
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 05 Mar 2007 - 18:07:32 CET

search this site