Sysop:EncryptedHDLinux
back to: LinuxSecurity
How-To
- Hilfe:How-to: Verschlüsselung mit dm-crypt/LUKS (im Aufbau)
cryptosetup-luks und dm-crypt
für eine bessere Kompatibilität und bessere Sicherheit sollte das neue LUKS verwendet werden.
Anleitungen finden sich unter:
- Gentoo: http://de.gentoo-wiki.com/DM-Crypt
- CentOS: http://wiki.centos.org/TipsAndTricks/EncryptedFilesystem
Partition initialisieren
Eine Partition / ein Image / etc. wird mit
cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /$pathtopartition
initialisiert und für die Verschlüsselung als luks-Container vorbereitet.
Seit Version 2.6.20 ist LRW im Kernel enthalten. Es ist der mit Abstand sicherste Modus zur Verschlüsselung. Entsprechend wird mit
cryptsetup -c aes-lrw-benbi:sha256 -y -s 256 luksFormat /$pathtopartition
initialisiert. (see [1])
Die sicherste Methode scheint derzeit der Nachfolger von LRW zu sein:
cryptsetup -c aes-xts-plain -y -s 512 luksFormat /$pathtopartition
(eine Diskussion gibts hier [2])
Container öffnen
cryptsetup luksOpen /$pathtopartition $mappername
damit wird der zu einem früheren Zeitpunkt initialisierte Container geöffnet und unter /dev/mapper/$mappername zur Verfügung gestellt. Dieser kann dann z.B. beim ersten mal mit
mkfs.ext3 /dev/mapper/$mappername
mit ext3 als Dateiformat formatiert werden, oder nach erstmaligen formatieren mit mount in das Dateisystem (z.B. unter /mnt/tmp) eingebunden werden:
mount /dev/mapper/$mappername /mnt/tmp
Container schliessen
cryptestup luksClose $mappername
crypt swap
Bemerkungen
/dev/random und /dev/urandom
random verbraucht sehr viel kostbare entropie, urandom ist ein normaler zufallsgenerator, der beliebig viel zahlen liefern kann.
/dev/random should be suitable for uses that need very high quality randomness such as one-time pad or key generation.
reboot und entropie problematik
da beim systemstart zu wenig entropie vorhanden ist, können die zahlen theoretisch vorhersagbarer sein, daher schlägt
man random
eine lösung per script vor.