Sysop:EncryptedHDLinux

Aus immerda
Version vom 28. Oktober 2013, 20:51 Uhr von Darktails (Diskussion | Beiträge) (reboot und entropie problematik)
Zur Navigation springen Zur Suche springen

back to: LinuxSecurity

How-To

cryptosetup-luks und dm-crypt

für eine bessere Kompatibilität und bessere Sicherheit sollte das neue LUKS verwendet werden.

Anleitungen finden sich unter:

Partition initialisieren

Eine Partition / ein Image / etc. wird mit

cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /$pathtopartition

initialisiert und für die Verschlüsselung als luks-Container vorbereitet.

Seit Version 2.6.20 ist LRW im Kernel enthalten. Es ist der mit Abstand sicherste Modus zur Verschlüsselung. Entsprechend wird mit

cryptsetup -c aes-lrw-benbi:sha256 -y -s 256 luksFormat /$pathtopartition

initialisiert. (see [1])

Die sicherste Methode scheint derzeit der Nachfolger von LRW zu sein:

cryptsetup -c aes-xts-plain -y -s 512 luksFormat /$pathtopartition

(eine Diskussion gibts hier [2])

Container öffnen

cryptsetup luksOpen /$pathtopartition $mappername

damit wird der zu einem früheren Zeitpunkt initialisierte Container geöffnet und unter /dev/mapper/$mappername zur Verfügung gestellt. Dieser kann dann z.B. beim ersten mal mit

mkfs.ext3 /dev/mapper/$mappername 

mit ext3 als Dateiformat formatiert werden, oder nach erstmaligen formatieren mit mount in das Dateisystem (z.B. unter /mnt/tmp) eingebunden werden:

mount /dev/mapper/$mappername /mnt/tmp

Container schliessen

cryptestup luksClose $mappername

crypt swap

Bemerkungen

/dev/random und /dev/urandom

random verbraucht sehr viel kostbare entropie, urandom ist ein normaler zufallsgenerator, der beliebig viel zahlen liefern kann.

/dev/random should be suitable for uses that need very high quality randomness
such  as  one-time  pad  or  key generation.

reboot und entropie problematik

da beim systemstart zu wenig entropie vorhanden ist, können die zahlen theoretisch vorhersagbarer sein, daher schlägt

man random

eine lösung per script vor.