Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Minimalistisches Linux zur Festplattenverschlüsselung

Frage Linux

Mitglied: datasearch

datasearch (Level 2) - Jetzt verbinden

17.08.2008, aktualisiert 18.08.2008, 4295 Aufrufe, 2 Kommentare

Hallo Leute,

ich habe da so eine Idee. Ich würde gerne ein Linux bauen (gentoo-Basierend), das nur die nötigsten Systemdateien (zb. Busybox) und alle Komponenten für den Zugriff auf verschlüsselte Datenträger enthält. Dies könnte man ja zb. mit cryptsetup lösen. Im Prinzip könnte man ja alles in eine initrd packen, booten, platte mit einem Schlüssel vom USB-Stick oder SmartCard entschlüsseln, neu als root einbinden und das eigentliche System starten. Quasi eine Art Startschlüssel für das vorhandene System. Ich experimentiere damit schon eine ganze Weile. Scheitere jedoch an einem zuverlässigem Schutz für den Schlüssel auf dem USB-Stick oder an der initrd.

Ich suche eigentlich nur Ideen, Vorschläge oder ähnliches die ich ausprobieren könnte. Ziel ist ein Server für den mobilen Einsatz, der quasi nur mit einem Medium (am liebsten SmartCard) überhaupt gestartet werden kann. Wird das Gerät gestolen, kommt man weder an Betriebssystem (das ja VPN-Schlüssel usw. enthalten könnte), noch an Daten (falls es sich um einen Fileserver handelt).

Also, egal wie weit hergeholt, ich bin offen für alle Vorschläge (außer proparitärer-/komerzieller- / nicht-OSS- / Lösungen).

Derzeit habe habe ich eine optimierte gentoo-stage1 Installation soweit abgespeckt das es auf 30MB passt und boote es von einer unverschlüsselten Partition. Ziel ist es aber, alles per initrd zu booten.

Zur Verschlüsselung würde ich Via C7 Hardware (wegen PadLock AES Engine), PCIe Raid-controller und 2.5" SATA-Platten im Raid5 verwenden. Natürlich erst wenn das OS soweit steht. Zum testen habe ich einen Via C3 (Padlock). Nach einigen Optimierungen schaffe ich so an die 40MB/s. Der C7 sollte so an die 60 schaffen, was für einen On-The-Road-Server völlig ausreicht.

Falls ich OT bin, bitte verschieben
Mitglied: filippg
18.08.2008 um 00:09 Uhr
Hallo datasearch,

leider kein Vorschlag, aber eine Frage: Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden? Oder willst du erst die ganze Platte entschlüsselt speicher und dann komplett neu booten? Dann funktioniert der Spass aber doch nur einmal, oder?

Ach so, und zu den Vorschlägen: Du willst sicherstellen, dass der Schlüssel nicht von seinem Datenträger ausgelesen werden kann? Das lässt sich m.E. mit herkömmlichen Datenträger schlicht und einfach nicht realisieren. Dein Entschlüsselungs-Linux ist ja darauf angewiesen, den Schlüssel in den Arbeitsspeicher laden zu können. Und was das kann, können andere auch. Aber genau dafür wurden ja Smartcards entwickelt. Die können Daten entschlüsseln (idealerweise nur den Schlüssel für die eigentlichen Nutzdaten), ohne dabei den Schlüssel preiszugeben.

Gruß

Filipp
Bitte warten ..
Mitglied: datasearch
18.08.2008 um 09:10 Uhr
Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden?

Indem ich diese Vorgänge entweder in einer initrd oder einem sehr frühem rc-script ausführe. ZB. append=init=/bin/preinit.sh.
Mit der initrd hatte ich noch kein Glück. Muss aber auch funktionieren.

Anschließend übergebe ich das neue root und boote das System fertig. In der letzten version habe ich mit kexec einen neuen Kernel aus der Cryptdisk gebootet.


Naja, RAM ist unkritisch. Es geht primär um diebstal, wenn jemand die Kiste im offenem zustand hackt, bringt eine Verschlüsselung freilig nichts. Ich möchte aber auch nicht wie bei LUKS, truecrypt usw... den Schlüssel in der Partition liegen haben. Eine Smartcard oder Stick sind schnell vernichtet.


Dummerweise brauche ich hotplug und mehrere regeln um bei anstecken des Sticks den Schlüssel zu laden. geht das mit SC vieleicht besser?

Im Moment boote ich das System mit der init=??? methode. In dem Script wird am ende udev getsartet. Sobald nun der Stick mit der richtigen Seriennummer angesteckt word, startet ein Script das Mountet, den Schlüssel lädt, entschlüsselt und bootet. Dummerweise kommt udev da völlig durcheinander. Also suche ich neue Möglichkeiten .
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
HP: Festplattenverschlüsselung
Frage von MaximilianMaierVerschlüsselung & Zertifikate1 Kommentar

Hallo zusammen, ich habe ein EliteBok 8770w von HP und möchte gerne die Festplatte verschlüsseln. Wie es mir scheint, ...

Datenschutz
Festplattenverschlüsselung BackupPC
gelöst Frage von PartizanBeogradDatenschutz6 Kommentare

Hallo Zusammen Ich habe eine Frage zur Festplattenverschlüsselung. Ausgangslage: Mein Auftrag war ursprünglich, einen Computer mit 8 Terra Festplatte ...

Verschlüsselung & Zertifikate
Festplattenverschlüsselung im Ausland
gelöst Frage von NicolaasVerschlüsselung & Zertifikate13 Kommentare

Hallo, Ich bin gerade auf der suche nach einer Übersicht in der aufgelistet ist in welchen Land welche Festplattenverschlüsselung ...

Windows Installation
Windows aus einem Linux heraus über das Linux installieren
gelöst Frage von MephManWindows Installation4 Kommentare

Hallo zusammen, ich nutze dieses Forum immer wieder für Hilfestellungen bei meinen Problemen. Jetzt hab ich ein Problem, zu ...

Neue Wissensbeiträge
Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 27 MinutenSicherheit

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 51 MinutenSicherheit9 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 7 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 20 StundenMac OS X4 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell27 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1025 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...