Hallo,
ich würde gerne meinen Laptop komplett verschlüsseln und wollte das jetzt bei der Installation der neuen openSuse 13.1 erledigen.
Mein Problem ist nur, dass ich jetzt nach mehrstündiger Recherche nicht unbedingt schlauer geworden bin, was die sinnvollste Lösung wäre.
Auf meinem Desktoprechner benutze ich LVM+LUKS (auf einer großen HDD). Das läuft auch soweit gut. Im Laptop habe ich aber eine SSD (am mSATA) und eine HDD. Bisher habe ich nur die HDD mit dm_crypt verschlüsselt und bei Bedarf gemountet. Die SSD ist ungeschützt, was mir nicht so zusagt, da ich in letzter Zeit doch öfters mit dem Laptop unterwegs bin und so Sachen wie meine Fotos, Kontoauszüge, eMails und Org-mode Dateien etc niemandem überlassen möchte.
Hardware ist ein Lenovo x231i mit einem i3 (leider ohne aes).
Aktuelle Partitionierung:
SSD: / und /home
HDD: /media/daten
Meine Anforderungen wären:
- Komplettverschlüsselung beider Platten
- (möglichst) nur ein Passwort eingeben müssen beim Booten
Möglichkeiten, die ich jetzt sehe wären:
1) Im Bios HDD Passwort setzen. Das wäre Performancemäßig wohl die beste Wahl da die SSD (M5 von Plextor) eine hardwareseiteige "Verschlüsselung" unterstützt. Gut die Sicherheit dieser Methode dürfte wohl nicht sehr hoch sein. Das könnte ich unter Umständen noch verschmerzen, wenn da außer irgendwelchen Behörden niemand rankäme. Was mir eher Sorgen macht ist dass ich wohl nicht mehr an meine Daten käme, wenn mir der Laptop abraucht. Sprich Festplatten im externen Gehäuse nicht benutzbar wären. Bzw die Platten Schrott wären und gar nicht mehr funktioniert. Die Informationen hierzu sind nicht so eindeutig.
2) LVM mit LUKS, wie ich es auf meinem Desktop einsetze. Ohne AES des i3 würde ich wohl mit gewissen Performanceeinbußen leben müssen. Ich frage mich hierbei nur, ob ich meine Partitionierung so in etwa behalten kann? Habe leider keine gute Dokumentation gefunden zu dem Thema.
z.B.: ein Volume Groupe auf SSD darin Logical Volumes für / und /home und eine VG auf der HDD mit einem LV für Daten?
Geht das so? Würde ich im Schadensfall an der SSD oder HDD an die jeweils andere Platte noch rankommen? Ich mein die die Partitionen bzw die LV erstrecken sich ja nicht über beide Laufwerke sonder sitzen auf dedizierten Festplatten? Würden sich jetzt mit zwei LV überhaupt beide mit einem Passwort beim Booten gleichzeitig öffnen können?
(LVM benutze ich auf dem Desktop nur, um nicht 10 Passwörter eingeben zu müssen. Die restlichen Funktionen nutze ich nicht)
3) Btrfs, wobei ich nicht weiß, ob das schon so stabil ist.
So ich weiß nicht, ob ich etwas wichtiges vergessen haben, hoffentlich nicht, sonst einfach Bescheid sagen.
Viele Grüße roman
ich würde gerne meinen Laptop komplett verschlüsseln und wollte das jetzt bei der Installation der neuen openSuse 13.1 erledigen.
Mein Problem ist nur, dass ich jetzt nach mehrstündiger Recherche nicht unbedingt schlauer geworden bin, was die sinnvollste Lösung wäre.
Auf meinem Desktoprechner benutze ich LVM+LUKS (auf einer großen HDD). Das läuft auch soweit gut. Im Laptop habe ich aber eine SSD (am mSATA) und eine HDD. Bisher habe ich nur die HDD mit dm_crypt verschlüsselt und bei Bedarf gemountet. Die SSD ist ungeschützt, was mir nicht so zusagt, da ich in letzter Zeit doch öfters mit dem Laptop unterwegs bin und so Sachen wie meine Fotos, Kontoauszüge, eMails und Org-mode Dateien etc niemandem überlassen möchte.
Hardware ist ein Lenovo x231i mit einem i3 (leider ohne aes).
Aktuelle Partitionierung:
SSD: / und /home
HDD: /media/daten
Meine Anforderungen wären:
- Komplettverschlüsselung beider Platten
- (möglichst) nur ein Passwort eingeben müssen beim Booten
Möglichkeiten, die ich jetzt sehe wären:
1) Im Bios HDD Passwort setzen. Das wäre Performancemäßig wohl die beste Wahl da die SSD (M5 von Plextor) eine hardwareseiteige "Verschlüsselung" unterstützt. Gut die Sicherheit dieser Methode dürfte wohl nicht sehr hoch sein. Das könnte ich unter Umständen noch verschmerzen, wenn da außer irgendwelchen Behörden niemand rankäme. Was mir eher Sorgen macht ist dass ich wohl nicht mehr an meine Daten käme, wenn mir der Laptop abraucht. Sprich Festplatten im externen Gehäuse nicht benutzbar wären. Bzw die Platten Schrott wären und gar nicht mehr funktioniert. Die Informationen hierzu sind nicht so eindeutig.
2) LVM mit LUKS, wie ich es auf meinem Desktop einsetze. Ohne AES des i3 würde ich wohl mit gewissen Performanceeinbußen leben müssen. Ich frage mich hierbei nur, ob ich meine Partitionierung so in etwa behalten kann? Habe leider keine gute Dokumentation gefunden zu dem Thema.
z.B.: ein Volume Groupe auf SSD darin Logical Volumes für / und /home und eine VG auf der HDD mit einem LV für Daten?
Geht das so? Würde ich im Schadensfall an der SSD oder HDD an die jeweils andere Platte noch rankommen? Ich mein die die Partitionen bzw die LV erstrecken sich ja nicht über beide Laufwerke sonder sitzen auf dedizierten Festplatten? Würden sich jetzt mit zwei LV überhaupt beide mit einem Passwort beim Booten gleichzeitig öffnen können?
(LVM benutze ich auf dem Desktop nur, um nicht 10 Passwörter eingeben zu müssen. Die restlichen Funktionen nutze ich nicht)
3) Btrfs, wobei ich nicht weiß, ob das schon so stabil ist.
So ich weiß nicht, ob ich etwas wichtiges vergessen haben, hoffentlich nicht, sonst einfach Bescheid sagen.
Viele Grüße roman