System oder Zusatzpartition verschlüsseln?

charlymcfly · 14 Sep. 2014

Hallo an alle

Ich stehe vor einem größeren Problem. Ich möchte gerne einige meiner Daten verschlüsseln. Diese könnten auf der Root Partition liegen oder ich kann die auf einer zusätzlichen Partition hinterlegen (das speilt für mich im ersten Moment keine Rolle).

Da ich mir nicht sicher bin wie ich das am besten komplett Sicher bekomme war meine Hoffnung ob es eine Variante gibt die diese Verschlüsselung an die Mac-Adresse bindet.

Zur kurzen Information es wäre ein System mit auf einer SD Karte und es könnte ohne großen Aufwand ein anderer diese SD KArte entfernen und in einem anderen Gehäuse/Geräte wieder einsetzen und starten oder auslesen. Das wollte ich nun versuchen zu verhindern.

Hat diesbezüglich vielleicht jemand eine Idee oder einen Vorschlag wie ich meine Daten und Arbeit am besten vor unbefugten schützen kann?

gehrke · 14 Sep. 2014

LUKS?!?

charlymcfly · 14 Sep. 2014

Sorry aber ist das eine Antwort aus möglichen Erfahrungen oder eine Idee? Ich habe Luks mir angesehen aber bisher noch nichts gefunden das ich damit etwas verschlüsseln kann und anhand der Mac Adresse dann entschlüsselt wird.

gehrke · 14 Sep. 2014

Mit LUKS kann man ver-/entschlüsseln. Als Schlüssel die MAC-Adresse zu verwenden ist IMHO keine gute Idee, weil nicht geheim und gegebenenfalls sogar über das lokale Netz abfragbar.

susejunky · 29 Sep. 2014

Hallo charlymcfly,

charlymcfly schrieb:
Hallo an alle

Ich stehe vor einem größeren Problem. Ich möchte gerne einige meiner Daten verschlüsseln.

Möchtest Du nur einzelne, wenige Dateien oder viele verschlüsseln?
Müssen die verschlüsselten Informationen im laufenden Betrieb permanent im Zugriff stehen (weil sie häufig gelesen/verändert werden) oder werden sie nur gelegentlich genutzt?

charlymcfly schrieb:
Diese könnten auf der Root Partition liegen oder ich kann die auf einer zusätzlichen Partition hinterlegen (das speilt für mich im ersten Moment keine Rolle).

Da ich mir nicht sicher bin wie ich das am besten komplett Sicher bekomme war meine Hoffnung ob es eine Variante gibt die diese Verschlüsselung an die Mac-Adresse bindet.

Suchst Du eine Lösung,

[a]
bei der Deine Daten nur dann genutzt (lesen+schreiben) werden können, wenn die SD-Karte (auf der Du, gemäß Deiner Beschreibung, die Daten abgelegt hast) in einem Gerät betrieben wird, in dem ein Netzadapter mit einer definierten MAC-Adresse vorhanden ist? Falls ja, soll dabei die erforderliche Ver-/Entschlüsselung automatisch erfolgen; d.h. ohne dass vorher noch weitere Eingaben (z.B. Kennwort) gemacht werden müssen?

bei der eine MAC-Adresse als Schlüssel (oder als Kennwort für einen Schlüssel) verwendet werden soll (unabhängig davon, ob das aktuelle Gerät über einen Netzwerkadapter mit dieser MAC-Adresse verfügt)?

Unabhängig davon, welche Lösung Du suchst, würde ich Dir, ebenso wie gehrke das bereits getan hat, von der Verwendung einer MAC-Adresse als Schlüssel (oder Kennwort für einen Schlüssel) auch abraten.

Viele Grüße

susejunky

charlymcfly · 11 Okt. 2014

Naja das mit der MAC und der Sicherheit verstehe ich nun nicht ganz. Sicher kann ich diese MAC auch über das Netzwerk herausfinden das ist mir schon klar, aber ich suche eine Möglichkeit einen Container oder eine Partition irgendwie zu verschlüsseln ohne Paswort eingabe oder sonstigem. Es geht mir darum das ich nun mit Linux ein Projekt für KNX, Crestron und eine SPS erstellt habe. Die Logiken und alle nötigen Scripte laufen auf einem Raspberry Board mit einer SD Karte eingebaut. Da diese Installation auf ein paar Schiffen installiert wird, weiß ich das mit den Monaten auf denen ich dort nicht tätig bin die Crew oder Subfirmen gerne Erweiterungen und Änderungen vornehmen. Das ist ja OK aber leider haben meine Erfahrungen gezeigt, das diese mehr zerstören als alles andere. Die Idee von mir und der Projektleitung, ist nun irgendwie diese Logiken und Scripte so auf dem Raspberry abzulegen das ich.

1. Das Raspberry starten kann ohne Passwort einzugeben (Ein Schiff hat öfter mal Blackouts und vor jedes Raspberry eine USV hängen ist nicht machenbar). Ja es wird ständig auf die Daten zugegriffen und das mit lesen und schreiben

2. Das offline Auslesen der SD Karte verhindern. Es soll keine Datei/Logic/Script über ein anderes Linux oder Windows von der SD Karte zu lesen sein. (Außer mit einem Master Passwort oder einem Speziellen PC)

Da ich bisher alles in/für Linux gefunden habe und dachte ich es gibt für Linux eben auch so eine verschlüsselungsvariante.

spoensche · 11 Okt. 2014

charlymcfly schrieb:
Naja das mit der MAC und der Sicherheit verstehe ich nun nicht ganz. Sicher kann ich diese MAC auch über das Netzwerk herausfinden das ist mir schon klar, aber ich suche eine Möglichkeit einen Container oder eine Partition irgendwie zu verschlüsseln ohne Paswort eingabe oder sonstigem.

Wenn du die MAC-Adresse verwendest, dann kannst du dir den Aufwand mit der Verschlüsselung auch sparen. Das ist quasi so, als wenn du das Passwort von deinem neuen Tresor an die öffentl. zugängliche Seite deiner Haustür tackerst oder besser noch direkt im Dorf ans schwarze Brett. Könnte ja sein, das mal jemand an deinen Tresor muss während du im Urlaub bist.

charlymcfly schrieb:
Das ist ja OK aber leider haben meine Erfahrungen gezeigt, das diese mehr zerstören als alles andere. Die Idee von mir und der Projektleitung, ist nun irgendwie diese Logiken und Scripte so auf dem Raspberry abzulegen das ich.

Ohne bekanntest Passwort für den Login kann so ohne weiteres erst mal keiner Dateien modifizieren o.ä. Und da gäbe es ja dann auch noch die Möglichkeit bei entsprechender Partitionierung die betroffene Partition read only zu mounten. Bei den ext Dateisystemen könnte man dies auch durch das Immutable Attribut realiseren. Dieses Attribute bewirkt, dass man die Datei zwar lesen aber nicht verändern kann.

charlymcfly schrieb:
1. Das Raspberry starten kann ohne Passwort einzugeben (Ein Schiff hat öfter mal Blackouts und vor jedes Raspberry eine USV hängen ist nicht machenbar). Ja es wird ständig auf die Daten zugegriffen und das mit lesen und schreiben

Dies tritt bei den OpenFenster Systemen von M$ mal mehr und mal weniger oft auf.

Statt Passwort gibt es bei LUKS auch die Möglichkeit ein Keyfile zu verwenden. Wenn das Keyfile allerdings mal kaputt gehen sollte, dann kommst du nicht mehr an die Daten dran. Das Keyfile sollte ausserdem auf einer verschlüsselten Partition oder Platte liegen, ansonsten kann man sich die Verschlüsselung schenken.

charlymcfly schrieb:
2. Das offline Auslesen der SD Karte verhindern. Es soll keine Datei/Logic/Script über ein anderes Linux oder Windows von der SD Karte zu lesen sein. (Außer mit einem Master Passwort oder einem Speziellen PC)

Dann müsstestest du die SD-Karte verschlüsseln. Statt die Lebensdauer der SD-Karte durch die von dir erwähnte hohe Anzahl an Schreibvorgängen zu testen wäre ein externer verschlüsselter Datenträger eher geeignet. Wenn das Passwort für die Verschlüsselung bekannt ist, dann ist das mit dem ausbauen und auf einem anderen Rechner lesen sowieso möglich.

charlymcfly schrieb:
Da ich bisher alles in/für Linux gefunden habe und dachte ich es gibt für Linux eben auch so eine verschlüsselungsvariante.

LUKS auf physikalischer Ebene, also Blocklayer, EcryptFS ist eine verschlüsselte Container Datei.

gehrke · 11 Okt. 2014

IMHO hast Du prinzipiell drei Möglichkeiten:

1. Du nimmst die Aufgabe der Verschlüsselung ernst und willst es sauber machen. Dann wirst Du in irgendeiner Form zu einem Zeitpunkt der Uptime (normalerweise beim Booten) das Passwort dazu manuell eingeben müssen. Entweder lokal oder remote (Netzwerk-Verbindung vorausgesetzt).

2. Du schreibst den Key unverschlüsselt irgendwohin und hoffst, dass das keiner merkt. Oder nutzt irgendwelche öffentlich zugänglichen Kriterien, aus denen der Schlüssel abgeleitet werden kann, wie beispielsweise die MAC-Adresse. Was aber per se keine echte Sicherheit bietet, sondern nur die Hoffnung, dass die Angreifer dumm genug sind, das nicht zu verstehen. Das ist Security by Obscurity und nicht uneingeschränkt empfehlenswert. Allenfalls für schlecht ausgebildete oder unmotivierte Angreifer vielleicht ausreichend. Beachte bitte, dass dieser Mechanismus ja gescriptet im Bootvorgang eingegossen sein muss - jeder versierte Angreifer kann das dort nachlesen.

3. Du verzichtest auf Verschlüsselung, in der Erkenntnis, dass Punkt 1 nicht umsetzbar ist und es keinen Sinn macht, eine aufwendige Schutzmaßnahme einzurichten, die mit etwas scharfem Nachdenken ad absurdum geführt werden kann (Punkt 2).

System oder Zusatzpartition verschlüsseln?

charlymcfly

Newbie

gehrke

Administrator

charlymcfly

Newbie

gehrke

Administrator

susejunky

Moderator

charlymcfly

Newbie

spoensche

Moderator

gehrke

Administrator