[HaBo]

Donar

Hallo,

ich arbeite recht viel am meinem PC und da ich sehr Paranoid ;-)
möchte ich meine Festplatte Verschlüsseln. Ich habe deswegen schon mit Truecrypt gearbeitet, was auch klappt. Nur bin ich zu faul jedesmal bei Systemstart ein 30 Stelliges PW einzutippen.
Was ich bräuchte wäre eine SD-Karte od. USB-Stick auf der eine Datei ist, aus der sich Truecrypt(oder ein Prog welches sowas unterstützt) den Key hohlt und ohne PW Abfrage Startet. Wenn die SD-Karte nicht da ist soll die PW Abfrage kommen.
Da ich wenig erfahrung mit diesem Thema habe hoffe ich, dass ihr mir da helfen könnt.

Habe schon per Google gesucht, nur nix passendes gefunden.
Auch hier im Forum hab ich natürlich gesucht, aber auch nichts gefunden, was mir da weiterhelfen könnte.

Danke schonmal im Vorraus!

Elderan

Dann nimm ein 10 oder 12 stelliges Passwort, sollte auch für paranoide Leute sicher genug sein

Unterstützt denn Truecrypt überhaupt Keyfiles beim booten? (In den Truecrypt Dokus steht dazu bestimmt etwas)

Donar

Ich hab nen Tutorial gefunden, da schreiben die ich solle Token benutzten, Wenn ich das bei Truecrypt einstellen will sagt mir da mir fehlt die PKCS #11 liberay dll
Ich finde beim besten will keine dll die mir helfen könnte, nicht im Systemordner und nicht im Web. Ich weiß mittlerweile das PKCS ein standart für kryptographischen Spezifikationen ist. Aber finde einfach nix was mir da weiter hilft.

*S.O.S* Bin ich zu dumm ums zu kapieren und will Truecrypt mich verarschen. Ich bitte um Hilfe.

Hackse

Zumindest Für Dein Ubuntu kannst Du ein kleines Runlevel-Shellskript schreiben, das prüft ob ein USB-Stick eingesteckt ist und von dort aus das Keyfile für Truecrypt bezieht. Sind Keyfile oder Passwort falsch, fährt das Skript das System herunter. Kann aus eigener Erfahrung sagen, dass so was prima funktioniert.

Donar

Dann wird die Festplatte aber nicht verschlüsselt. Diese Sicherung kann man dann mit ner Live-CD von Ubuntu recht leicht umgehen.

freakazoid

Einfach nen eToken besorgen! Die Bibliothek dürfte beim eToken dabei sein.

Link: http://www.aladdin.com/etoken/devices/pro-usb.aspx

Hackse

@Donar:

In meinem Szenario ist die Festplatte mit Truecrypt verschlüsselt. Beim Booten des Betriebssystems liest das Skript das Keyfile vom eingesteckten USB-Stick und verwendet dieses Keyfile sowie ein von Dir eingegebenes Passwort um die Festplatte via Truecrypt zu entschlüsseln. Gibst Du 3 Mal ein falsches Passwort ein oder kann das korrekte Keyfile nicht gefunden/gelesen werden, dann fährt das System wieder herunter.

Mit einer Live-CD ist dies nicht zu umgehen, da die Festplatte mit Truecrypt verschlüsselt ist.


Greetz
Hackse

freakazoid

@ Hackse

Soweit ich das verstanden hab will er seine Sys-Partition bzw. die gesamte Festplatte verschlüsseln. Dazu wird das Passwort mit Hilfe des TrueCrypt-Bootmanagers abgefragt. Also vor dem Booten des Betriebssystems. Wie soll also auf das von dir genannte Script zugegriffen werden? Bei einer anderen beliebigen verschlüsselten Partition oder Container mag das funktionieren, aber nicht bei der Sys-Partition. Wenn ich da was falsch verstanden hab tut es mir leid. Dann ist die Methode von Hackse die beste Wahl!

lg freakazoid

Hackse

@freakazoid:

Ja, die Sys-Partition habe ich nicht verschlüsselt, das stimmt.
Die Frage ist:
Ist eine Verschlüsselung der Sys-Partition für Linux notwendig und ich kann für mich persönlich diese Frage mit nein beantworten.

Mein /home-Verzeichnis liegt mit allen von mir über die Jahre entwickelten Applikationen und persönlichen Daten, die Dritte nicht einsehen sollen, auf dem verschlüsselten Volume. Gleiches gilt für die Swap-Partition. Beide müssen beim Hochfahren via Skript, Truecrypt -Keyfile u. ext. USB-Device entschlüsselt und gemountet werden.

Die Sys-Partition "/" hingegen mit Linux-Programmen, Netzkonfiguration, Kernel und co. darf meinetwegen jeder sehen, da hier bei mir nun mal keine persönlichen od. selbst entwickelten Daten liegen und somit nichts über mich aussagt, außer welche legalen Programme ich unter /usr/bin/ verwende.

Wie gesagt, dies ist eine persönliche Präferenz, muss jeder für sich selbst entscheiden.


Greetz
Hackse

Eydeet

@Hackse: Leute, die ganz paranoid sind haben bei deiner Config natürlich Angst, dass jemand ihnen Spyware unterjubelt, die dann die entschlüsselten Daten auslesen kann. Hast du auch die Root-Partition verschlüsselt, dann ist das nicht mehr so einfach möglich.
Den Boot Loader könntest du dann auf 'nem USB-Stick immer mit dir herumtragen.
Bei deiner Config bist du also nur sicher, solange jemand nur einmal Zugriff auf deine Platte hat. Wenn er mehrmals Zugriff hat oder du eine Netzwerkverbindung hast ("Bundestrojaner" ), dann kann er die Verschlüsselung umgehen.

LG Eydeet

freakazoid

@ Eydeet

Wie verhält sich denn das bei Updates? Hab die Erfahrung gemacht, dass ich den Bootloader immer wieder manuell kopieren musste und GRUB wieder neuinstallieren musste. Bißchen nervig! Gibt es eine Möglichkeit, dass zu umgehen?

@ Hackse

Ging es hier im speziellen um Linux. Bei Linux würde ich vorzugsweise dmCrypt+LUKS einsetzen.

@ Donar

Könntest du die Sache mal aufklären. Systempartition oder /home-Partition? Linux oder Windows?

Eydeet

Hast du mal versucht, den Stick unter /boot einbinden zu lassen? Wenn das nicht funktioniert, dann bleibt dir nur, ein Script dafür zu basteln, wenn du Grub nicht manuell updaten willst. Aber mal ehrlich: das letzte Update von Grub war 2008, die Version davor wurde 2006 veröffentlicht. So häufig sind die Updates also auch nicht.

freakazoid

Ne, ich meinte ein Update von TrueCrypt, da sich bei einem Update von TrueCrypt der TC-Bootloader wieder ins MBR schreibt und somit Grub wieder überschreibt. Zumindest musste ich Grub nach jedem UPdate wieder neuinstallieren.

Wotan

Wenn du es mit TrueCrzpt nich hinbekommst, versuche es mal mit "Safe Guard easy". Bei dem Programm kannst du auch Token aktivieren. Da ich auch Paranoid bin nutze ich diese Software

Gruss Wotan

__________________
"Dreaming in Digital, Living in realtime, Thinking in binary, Talking in IP, Welcome to our World" C.O.R.E. (Challenge of Reverse Engineering)