Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Minimalistisches Linux zur Festplattenverschlüsselung

Frage Linux

Mitglied: datasearch

datasearch (Level 2) - Jetzt verbinden

17.08.2008, aktualisiert 18.08.2008, 4272 Aufrufe, 2 Kommentare

Hallo Leute,

ich habe da so eine Idee. Ich würde gerne ein Linux bauen (gentoo-Basierend), das nur die nötigsten Systemdateien (zb. Busybox) und alle Komponenten für den Zugriff auf verschlüsselte Datenträger enthält. Dies könnte man ja zb. mit cryptsetup lösen. Im Prinzip könnte man ja alles in eine initrd packen, booten, platte mit einem Schlüssel vom USB-Stick oder SmartCard entschlüsseln, neu als root einbinden und das eigentliche System starten. Quasi eine Art Startschlüssel für das vorhandene System. Ich experimentiere damit schon eine ganze Weile. Scheitere jedoch an einem zuverlässigem Schutz für den Schlüssel auf dem USB-Stick oder an der initrd.

Ich suche eigentlich nur Ideen, Vorschläge oder ähnliches die ich ausprobieren könnte. Ziel ist ein Server für den mobilen Einsatz, der quasi nur mit einem Medium (am liebsten SmartCard) überhaupt gestartet werden kann. Wird das Gerät gestolen, kommt man weder an Betriebssystem (das ja VPN-Schlüssel usw. enthalten könnte), noch an Daten (falls es sich um einen Fileserver handelt).

Also, egal wie weit hergeholt, ich bin offen für alle Vorschläge (außer proparitärer-/komerzieller- / nicht-OSS- / Lösungen).

Derzeit habe habe ich eine optimierte gentoo-stage1 Installation soweit abgespeckt das es auf 30MB passt und boote es von einer unverschlüsselten Partition. Ziel ist es aber, alles per initrd zu booten.

Zur Verschlüsselung würde ich Via C7 Hardware (wegen PadLock AES Engine), PCIe Raid-controller und 2.5" SATA-Platten im Raid5 verwenden. Natürlich erst wenn das OS soweit steht. Zum testen habe ich einen Via C3 (Padlock). Nach einigen Optimierungen schaffe ich so an die 40MB/s. Der C7 sollte so an die 60 schaffen, was für einen On-The-Road-Server völlig ausreicht.

Falls ich OT bin, bitte verschieben
Mitglied: filippg
18.08.2008 um 00:09 Uhr
Hallo datasearch,

leider kein Vorschlag, aber eine Frage: Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden? Oder willst du erst die ganze Platte entschlüsselt speicher und dann komplett neu booten? Dann funktioniert der Spass aber doch nur einmal, oder?

Ach so, und zu den Vorschlägen: Du willst sicherstellen, dass der Schlüssel nicht von seinem Datenträger ausgelesen werden kann? Das lässt sich m.E. mit herkömmlichen Datenträger schlicht und einfach nicht realisieren. Dein Entschlüsselungs-Linux ist ja darauf angewiesen, den Schlüssel in den Arbeitsspeicher laden zu können. Und was das kann, können andere auch. Aber genau dafür wurden ja Smartcards entwickelt. Die können Daten entschlüsseln (idealerweise nur den Schlüssel für die eigentlichen Nutzdaten), ohne dabei den Schlüssel preiszugeben.

Gruß

Filipp
Bitte warten ..
Mitglied: datasearch
18.08.2008 um 09:10 Uhr
Wie schaffst du es denn, ein zweites OS zu booten, ohne das erste zu beenden?

Indem ich diese Vorgänge entweder in einer initrd oder einem sehr frühem rc-script ausführe. ZB. append=init=/bin/preinit.sh.
Mit der initrd hatte ich noch kein Glück. Muss aber auch funktionieren.

Anschließend übergebe ich das neue root und boote das System fertig. In der letzten version habe ich mit kexec einen neuen Kernel aus der Cryptdisk gebootet.


Naja, RAM ist unkritisch. Es geht primär um diebstal, wenn jemand die Kiste im offenem zustand hackt, bringt eine Verschlüsselung freilig nichts. Ich möchte aber auch nicht wie bei LUKS, truecrypt usw... den Schlüssel in der Partition liegen haben. Eine Smartcard oder Stick sind schnell vernichtet.


Dummerweise brauche ich hotplug und mehrere regeln um bei anstecken des Sticks den Schlüssel zu laden. geht das mit SC vieleicht besser?

Im Moment boote ich das System mit der init=??? methode. In dem Script wird am ende udev getsartet. Sobald nun der Stick mit der richtigen Seriennummer angesteckt word, startet ein Script das Mountet, den Schlüssel lädt, entschlüsselt und bootet. Dummerweise kommt udev da völlig durcheinander. Also suche ich neue Möglichkeiten .
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
gelöst Festplattenverschlüsselung im Ausland (13)

Frage von Nicolaas zum Thema Verschlüsselung & Zertifikate ...

Linux
Dual Boot Linux Windows (6)

Frage von Quelle zum Thema Linux ...

Linux
Linux: 25 Jahre und kein Ende

Link von Frank zum Thema Linux ...

Cluster
gelöst Linux Failover (3)

Frage von akadawa zum Thema Cluster ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS (33)

Frage von Hendrik2586 zum Thema Verschlüsselung & Zertifikate ...

Grafikkarten & Monitore
24" oder 27" mit Full HD oder doch mehr Auflösung? (21)

Frage von brutzler zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Linksys wrt1200ac v2 mit dd-wrt: keine vlan-einstellungen im GUI (15)

Frage von Pixi123 zum Thema Router & Routing ...