USB Festplatte verschlüsseln mit Suse 9.0 - CC-Community Board

**Paul** · 24.07.2004, 20:56

Hallo!

Ich habe mir eine USB-Festplatte zugelegt, die ich gern komplett verschlüsseln würde.
Da ich schon geraume Zeit Windows komplett verbannt habe, muss dies mit Suse Linux 9.0 laufen. Ich weiß, dass dies mit Yast grundsätzlich möglich ist. Meine bisherigen Versuche gingen zwar vorübergehend, aber spätestens nach erneutem Booten funktionierte kein Zugriff mehr.

Wenn jemand das schonmal hinbekommen hat, wäre es ganz nett, wenn er mir mal eine kurze Anleitung geben könnte.

MfG

Paul

**MrX1** · 24.07.2004, 21:40

c't 16/2004 seite 180

**Brantkanne** · 26.07.2004, 20:25

moin,
loop-aes steht im ruf nicht sonderlich sicher zu sein und wird in kommenden kernel versionen angeblich nicht mehr unterstützt

dm-crypt ist nun das tool der wahl, habs auf nem gentoo server laufen (ja als debianer geb ich das ungern zu)

hier meine kurzdoku, im gentoo forum steht sicher mehr und es sollte sich auf alle anderen distris übertragen lassen

Code:

dm-crypt installieren
http://www.saout.de/misc/dm-crypt/
kernel mit devicemapper und dm-crypt unterstützung kompilieren (unter Device Drivers > Multi-device support (RAID and LVM))

partition darf natürlich nicht gemounted sein!

emerge device-mapper
emerge libgcrypt
emerge hashalot

cryptool runterladen, entpacken, ./configure – make – make install

cryptsetup -c aes -y create my-data /dev/hda9 
mke2fs /dev/mapper/my-data 			# oder mkreiserfs
mount /dev/mapper/my-data /data

dmsetup remove /dev/mapper/dokumente

gruß
Brantkanne

**mailfire** · 27.07.2004, 11:06

Oder alternativ, für die die es gerne mit Loopback machen:

Code:

losetup -e twofish-256 /dev/loop1 /dev/hda3
"anschließend Passwort eigeben"

mkfs.ext3 /dev/loop1
mount -t ext3 /dev/loop1 /crypto

Eintrag für fstab:

Code:

/dev/hda3     /crypted   ext3 loop=/dev/loop1,encryption=twofish-256,noauto

mit noauto wird verhindert, dass das fs automatisch gemountet wird.
Filesystem muss leer sein, da es komplett neu formatiert wird.

**Silverado** · 28.07.2004, 10:51

Zitat:

aber spätestens nach erneutem Booten funktionierte kein Zugriff mehr.

Wie genau meinst Du das? Kam eine Fehlermeldung beim Mounten oder was?

Grüße

Silverado

**Paul** · 28.07.2004, 13:02

@ Silverado

Das meine ich so, dass ich mit Yast 'System-->Partionieren' die als /dev/sda1 erkannte Platte über die Funktion 'Partition anlegen' und Häkchen im Feld 'Dateisytem verschlüsseln' versucht habe zu verschlüsseln.

Solange ich den Computer nicht herunterfahre, kann ich die Platte bzw. Partition mounten und wieder umounten. Beim Mounten werde ich nach dem Passwort gefragt. Es scheint alles ok.
Nur wenn ich die Kiste mal wieder neu starten muss, auch das kommt alle paar Tage mal vor, kann ich die Platte nicht mehr mounten. Es kommt diese Fehlermeldung:

ioctl: LOOP_SET_STATUS: Das Argument ist ungültig

Ich meine inzwischen herausbekommen zu haben, dass man eine verschlüsselte USB-Platte nur über einen 'Loop-device' mounten kann. der z.B. auf einem USB Stick liegt. Soll wohl auch etwas heikel sein, weil z.B. bei einem Update die Daten nicht mehr lesbar sein könnten. Deswegen trau ich mich auch noch nicht so richtig ran, weil ja gerade die wichtigen und sensiblen Daten auf der verschlüsselten Platte liegen sollen.

MfG

Paul

**Silverado** · 28.07.2004, 23:53

Hi!

Ich habe letzte Woche gewagt, meinen File-Server von Win2k auf Suse 9.1 umzustellen. Dabei habe ich auch zwei verschlüsselte Partitionen (allerdings auf normalen Platten) erstellt.

Im Yast habe ich Partition anlegen gewählt und einen Haken bei verschlüsseln gemacht. Zusätzlich habe ich unter erweiterte Optionen angehakt, dass die Platte nur manuell gemountet werden soll. Danach das Passwort gewählt und fertig.

Die verschlüsselten Partitionen ließen sich danach prima nutzen, mounten und unmounten - bis nach dem nächsten Reboot.

Nach der Eingabe von mount /secret kam zwar noch die Passwortaufforderung, aber danach kam nur noch eine Fehlermeldung, dass der Kernel das Verschlüsselungsverfahren nicht unterstütze (aber nicht die Fehlermeldung, die Du beschreibst).

Als Linux-kaum-was-Peiler war ich erst mal etwas ratlos, bis ich schließlich herausbekam, dass man erst noch das Verschlüsselungsmodul laden muss:

modprobe loop_fish256

Danach funzte alles wieder.

Vielleicht hilft Dir das trotz der anderen Fehlermeldung weiter?

Offen gesagt weiß ich bis jetzt nicht wirklich, was ein "Loop-Device" ist, aber dass man das irgendwie nur über einen USB-Stick mounten kann, ist sicher falsch.

Soweit ich weiß, gibt es zwei Möglichkeiten, verschlüsselte Partitionen zu erhalten:

1) Man verschlüsselt ganz normale Festplatten-Partitionen beim Anlegen.

2) Man erstellt "Container-Dateien". Dabei wird dann keine richtige Partition angelegt, sondern nur eine Container-Datei, die dann als "Pseudo-Partition" gemountet wird.

Wenn Du Dich (wie ich) mit Windows ungleich besser auskennst als mit Linux, dann ist Dir vielleicht mal DriveCrypt über den Weg gelaufen. Damit kann man auch wahlweise ganze Partitionen verschlüsseln oder auch nur einzelne Containerdateien anlegen, die dann als zusätzliche Laufwerke gemountet werden. Solche Containerdateien kann man auf allen Arten von Datenträgern anlegen und auch auf CD/DVD brennen.

Unter Yast entstehen solche "Container-Dateien" durch den Button "Verschlüsseltes Loop-Device anlegen" oder so ähnlich. Du wirst dann aufgefordert, einen Speicherort und eine Größe für den "Container" zu wählen. Um diesen Weg zu gehen, musst Du also erst Deine Platte normal und unverschlüsselt partitionieren/formatieren und dann auf dieser Platte eine verschlüsselte "Containerdatei" anlegen.

Verwaltet werden diese "Container" bei Suse in /etc/cryptotab (richtige Partitionen in der /etc/fstab)

Möglicherweise führt Dich dieser Weg bei einer USB-Platte eher zum Ziel?

Grüße

Silverado

PS: Ja, ich weiß, einem echten Linuxianer rollen sich bei solchen Beiträgen die Fußnägel auf, Suse/Yast zu verwenden ist total daneben usw. Nur wenn man es nicht besser kann, dann kann man es doch zum Einstieg wenigstens mal versuchen... Aus Schaden wird man auch klug :fy

**Flipper** · 31.07.2004, 20:36

Hi,

unter http://v4.livegate.net/wipe/ gibt's eine Übersicht verschiedener Kryptolösungen (Windows+Linux). Vielleicht ergibt sich daraus ja irgendetwas für Dich.

MfG
Flipper

**mig** · 01.08.2004, 02:45

guckst du bei SuSE direkt:
http://www.suse.de/de/private/suppor.../howto/crypto/

mirror
http://www.linux-knowledge-portal.or...ty/crypto.html

gruss mig

**taurec** · 22.08.2004, 20:05

Mal als Nachtrag falls sich Leute mit gecryptetet Linux Partitionen sicher fühlen. Sowohl das alte cryptoloop wie auch dm-crypt sind derzeit *nicht* sicher. http://seclists.org/lists/linux-kern.../Feb/4836.html

Ich habe den Watermark Angriff auf einer mit twofish verschlüsselten Partition getestet und der funktioniert wie beschrieben.

Die einzig sichere Soft im Moment ist loop-aes:
http://loop-aes.sourceforge.net/

Aber auch nur wenn loop-AES multi-key mode verwendet wird.

**mig** · 23.08.2004, 13:52

Und was sagt mir jetzt das?

Code:

root@linux:~ $: dd if=/dev/sda7 bs=64k | ./detect-watermark-encodings
578088+1 records in
578088+1 records out
37885606912 bytes scanned
watermark encoding 1, count 13236
watermark encoding 2, count 9967
watermark encoding 3, count 7780
watermark encoding 4, count 4764
watermark encoding 5, count 4033
watermark encoding 6, count 3059
watermark encoding 7, count 3322
watermark encoding 8, count 2244
watermark encoding 9, count 3145
watermark encoding 10, count 2719
watermark encoding 11, count 2467
watermark encoding 12, count 2139
watermark encoding 13, count 2041
watermark encoding 14, count 2514
watermark encoding 15, count 2077
watermark encoding 16, count 2482
watermark encoding 17, count 1300
watermark encoding 18, count 1808
watermark encoding 19, count 1807
watermark encoding 20, count 1604
watermark encoding 21, count 433
watermark encoding 22, count 1456
watermark encoding 23, count 1791
watermark encoding 24, count 932
watermark encoding 25, count 355
watermark encoding 26, count 792
watermark encoding 27, count 988
watermark encoding 28, count 806
watermark encoding 29, count 297
watermark encoding 30, count 77
watermark encoding 31, count 1673
watermark encoding 32, count 18708

gruss mig

**taurec** · 23.08.2004, 19:38

Das schreibt Juri Ruusu ja auch in dem Text:

Code:

"This attack exploits weakness in IV computation and knowledge of how file systems place files on disk. This attack works with file systems that have soft block size of 1024 or greater. At least ext2, ext3, reiserfs and minix have such property. Don't know about xfs. This attack makes it possible to detect presense of specially crafted watermarked files, such as, unreleased Hollywood movies, cruise missile service manuals, and other content that you did not create yourself. Watermarked files contain special bit patterns that can be detected without decryption."

24.07.2004, 20:56	#1
Paul Oldie Registriert seit: 28.04.2001 Beiträge: 139	USB Festplatte verschlüsseln mit Suse 9.0 Hallo! Ich habe mir eine USB-Festplatte zugelegt, die ich gern komplett verschlüsseln würde. Da ich schon geraume Zeit Windows komplett verbannt habe, muss dies mit Suse Linux 9.0 laufen. Ich weiß, dass dies mit Yast grundsätzlich möglich ist. Meine bisherigen Versuche gingen zwar vorübergehend, aber spätestens nach erneutem Booten funktionierte kein Zugriff mehr. Wenn jemand das schonmal hinbekommen hat, wäre es ganz nett, wenn er mir mal eine kurze Anleitung geben könnte. MfG Paul

27.07.2004, 11:06	#4
mailfire Oldie Registriert seit: 09.05.2001 Ort: do you know Beer? Beiträge: 561	Oder alternativ, für die die es gerne mit Loopback machen: Code: losetup -e twofish-256 /dev/loop1 /dev/hda3 "anschließend Passwort eigeben" mkfs.ext3 /dev/loop1 mount -t ext3 /dev/loop1 /crypto Eintrag für fstab: Code: /dev/hda3 /crypted ext3 loop=/dev/loop1,encryption=twofish-256,noauto mit noauto wird verhindert, dass das fs automatisch gemountet wird. Filesystem muss leer sein, da es komplett neu formatiert wird.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

24.07.2004, 21:40	#2
MrX1 NullPointerException Registriert seit: 22.04.2001 Beiträge: 3.165	c't 16/2004 seite 180

28.07.2004, 13:02	#6
Paul Oldie Registriert seit: 28.04.2001 Beiträge: 139	@ Silverado Das meine ich so, dass ich mit Yast 'System-->Partionieren' die als /dev/sda1 erkannte Platte über die Funktion 'Partition anlegen' und Häkchen im Feld 'Dateisytem verschlüsseln' versucht habe zu verschlüsseln. Solange ich den Computer nicht herunterfahre, kann ich die Platte bzw. Partition mounten und wieder umounten. Beim Mounten werde ich nach dem Passwort gefragt. Es scheint alles ok. Nur wenn ich die Kiste mal wieder neu starten muss, auch das kommt alle paar Tage mal vor, kann ich die Platte nicht mehr mounten. Es kommt diese Fehlermeldung: ioctl: LOOP_SET_STATUS: Das Argument ist ungültig Ich meine inzwischen herausbekommen zu haben, dass man eine verschlüsselte USB-Platte nur über einen 'Loop-device' mounten kann. der z.B. auf einem USB Stick liegt. Soll wohl auch etwas heikel sein, weil z.B. bei einem Update die Daten nicht mehr lesbar sein könnten. Deswegen trau ich mich auch noch nicht so richtig ran, weil ja gerade die wichtigen und sensiblen Daten auf der verschlüsselten Platte liegen sollen. MfG Paul

28.07.2004, 23:53	#7
Silverado Oldie Registriert seit: 22.04.2001 Beiträge: 817	Hi! Ich habe letzte Woche gewagt, meinen File-Server von Win2k auf Suse 9.1 umzustellen. Dabei habe ich auch zwei verschlüsselte Partitionen (allerdings auf normalen Platten) erstellt. Im Yast habe ich Partition anlegen gewählt und einen Haken bei verschlüsseln gemacht. Zusätzlich habe ich unter erweiterte Optionen angehakt, dass die Platte nur manuell gemountet werden soll. Danach das Passwort gewählt und fertig. Die verschlüsselten Partitionen ließen sich danach prima nutzen, mounten und unmounten - bis nach dem nächsten Reboot. Nach der Eingabe von mount /secret kam zwar noch die Passwortaufforderung, aber danach kam nur noch eine Fehlermeldung, dass der Kernel das Verschlüsselungsverfahren nicht unterstütze (aber nicht die Fehlermeldung, die Du beschreibst). Als Linux-kaum-was-Peiler war ich erst mal etwas ratlos, bis ich schließlich herausbekam, dass man erst noch das Verschlüsselungsmodul laden muss: modprobe loop_fish256 Danach funzte alles wieder. Vielleicht hilft Dir das trotz der anderen Fehlermeldung weiter? Offen gesagt weiß ich bis jetzt nicht wirklich, was ein "Loop-Device" ist, aber dass man das irgendwie nur über einen USB-Stick mounten kann, ist sicher falsch. Soweit ich weiß, gibt es zwei Möglichkeiten, verschlüsselte Partitionen zu erhalten: 1) Man verschlüsselt ganz normale Festplatten-Partitionen beim Anlegen. 2) Man erstellt "Container-Dateien". Dabei wird dann keine richtige Partition angelegt, sondern nur eine Container-Datei, die dann als "Pseudo-Partition" gemountet wird. Wenn Du Dich (wie ich) mit Windows ungleich besser auskennst als mit Linux, dann ist Dir vielleicht mal DriveCrypt über den Weg gelaufen. Damit kann man auch wahlweise ganze Partitionen verschlüsseln oder auch nur einzelne Containerdateien anlegen, die dann als zusätzliche Laufwerke gemountet werden. Solche Containerdateien kann man auf allen Arten von Datenträgern anlegen und auch auf CD/DVD brennen. Unter Yast entstehen solche "Container-Dateien" durch den Button "Verschlüsseltes Loop-Device anlegen" oder so ähnlich. Du wirst dann aufgefordert, einen Speicherort und eine Größe für den "Container" zu wählen. Um diesen Weg zu gehen, musst Du also erst Deine Platte normal und unverschlüsselt partitionieren/formatieren und dann auf dieser Platte eine verschlüsselte "Containerdatei" anlegen. Verwaltet werden diese "Container" bei Suse in /etc/cryptotab (richtige Partitionen in der /etc/fstab) Möglicherweise führt Dich dieser Weg bei einer USB-Platte eher zum Ziel? Grüße Silverado PS: Ja, ich weiß, einem echten Linuxianer rollen sich bei solchen Beiträgen die Fußnägel auf, Suse/Yast zu verwenden ist total daneben usw. Nur wenn man es nicht besser kann, dann kann man es doch zum Einstieg wenigstens mal versuchen... Aus Schaden wird man auch klug :fy

31.07.2004, 20:36	#8
Flipper Oldie Registriert seit: 02.06.2002 Beiträge: 1.041	Hi, unter http://v4.livegate.net/wipe/ gibt's eine Übersicht verschiedener Kryptolösungen (Windows+Linux). Vielleicht ergibt sich daraus ja irgendetwas für Dich. MfG Flipper

01.08.2004, 02:45	#9
mig Oldie Registriert seit: 24.04.2001 Beiträge: 5.741	guckst du bei SuSE direkt: http://www.suse.de/de/private/suppor.../howto/crypto/ mirror http://www.linux-knowledge-portal.or...ty/crypto.html gruss mig

22.08.2004, 20:05	#10
taurec Oldie Registriert seit: 21.05.2001 Beiträge: 826	Mal als Nachtrag falls sich Leute mit gecryptetet Linux Partitionen sicher fühlen. Sowohl das alte cryptoloop wie auch dm-crypt sind derzeit nicht sicher. http://seclists.org/lists/linux-kern.../Feb/4836.html Ich habe den Watermark Angriff auf einer mit twofish verschlüsselten Partition getestet und der funktioniert wie beschrieben. Die einzig sichere Soft im Moment ist loop-aes: http://loop-aes.sourceforge.net/ Aber auch nur wenn loop-AES multi-key mode verwendet wird.