Sysop:EncryptedHDLinux: Unterschied zwischen den Versionen
Muri (Diskussion | Beiträge) K (Muri verschob Seite EncryptedHDLinux nach Sysop:EncryptedHDLinux: articles refering to sysop stuff should be in the sysop namespace) |
K (→reboot und entropie problematik) |
||
| Zeile 55: | Zeile 55: | ||
man random | man random | ||
eine lösung per script vor. | eine lösung per script vor. | ||
| + | |||
| + | * http://www.linuxfromscratch.org/hints/downloads/files/entropy.txt | ||
[[Category:ImmerdaDocumentationProject]] | [[Category:ImmerdaDocumentationProject]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||
Version vom 28. Oktober 2013, 20:51 Uhr
back to: LinuxSecurity
Inhaltsverzeichnis
How-To
- How-to Verschlüsselung mit dm-crypt/LUKS (im Aufbau)
cryptosetup-luks und dm-crypt
für eine bessere Kompatibilität und bessere Sicherheit sollte das neue LUKS verwendet werden.
Anleitungen finden sich unter:
- Gentoo: http://de.gentoo-wiki.com/DM-Crypt
- CentOS: http://wiki.centos.org/TipsAndTricks/EncryptedFilesystem
Partition initialisieren
Eine Partition / ein Image / etc. wird mit
cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /$pathtopartition
initialisiert und für die Verschlüsselung als luks-Container vorbereitet.
Seit Version 2.6.20 ist LRW im Kernel enthalten. Es ist der mit Abstand sicherste Modus zur Verschlüsselung. Entsprechend wird mit
cryptsetup -c aes-lrw-benbi:sha256 -y -s 256 luksFormat /$pathtopartition
initialisiert. (see [1])
Die sicherste Methode scheint derzeit der Nachfolger von LRW zu sein:
cryptsetup -c aes-xts-plain -y -s 512 luksFormat /$pathtopartition
(eine Diskussion gibts hier [2])
Container öffnen
cryptsetup luksOpen /$pathtopartition $mappername
damit wird der zu einem früheren Zeitpunkt initialisierte Container geöffnet und unter /dev/mapper/$mappername zur Verfügung gestellt. Dieser kann dann z.B. beim ersten mal mit
mkfs.ext3 /dev/mapper/$mappername
mit ext3 als Dateiformat formatiert werden, oder nach erstmaligen formatieren mit mount in das Dateisystem (z.B. unter /mnt/tmp) eingebunden werden:
mount /dev/mapper/$mappername /mnt/tmp
Container schliessen
cryptestup luksClose $mappername
crypt swap
Bemerkungen
/dev/random und /dev/urandom
random verbraucht sehr viel kostbare entropie, urandom ist ein normaler zufallsgenerator, der beliebig viel zahlen liefern kann.
/dev/random should be suitable for uses that need very high quality randomness such as one-time pad or key generation.
reboot und entropie problematik
da beim systemstart zu wenig entropie vorhanden ist, können die zahlen theoretisch vorhersagbarer sein, daher schlägt
man random
eine lösung per script vor.
