Festplattenverschlüsselung mit eToken / eToken zu gewinnen

[burelli]

Hallo allerseits,
kennt sich hier Jemand mit eTokens aus?
http://www.aladdin.de/produkte/usbtoken_esecurity/etoken_uebersicht.html

Wir haben mit den Dinger in der Firma unsere Notebookplatten verschlüsselt und nutzen den eToken auch für ne gesicherte Anmeldung an Windows.

Ich hab nun 2 davon rumliegen und würde die gerne mit FreeBSD nutzen, finde aber im Internet keine guten Antworten auf meine Fragen:
1. Wird der eToken unterstützt? welches Device muß man in den Kernel eintragen?
2. Kann man gbde damit koppeln? Denn so wie ich gbde verstanden habe ist die Lock-Datei der Schwachpunkt. Ist die Lock-Datei also im eToken hat es der Angreifer schwerer.
3. Kann man den eToken mit GDM oder auch KDM koppeln, so das ein Anmelden nur noch mit eToken möglich ist? Ich hab sowas mal unter Linux gesehen (auf der Cebit)

das sind ja keine einfachen Fragen :-) und deswegen verschenke ich meinen zweiten eToken an den/die jenige/n mit dessen Hilfe ich das Ding zum laufen kriege.

Gruß Jan

 

[CMW]

Vielleicht helfen dir folgende Links etwas:
http://etoken.sourceforge.net/
http://www.opensc.org/

Ich kenne "eTokens" nicht und bin auf der Suche nach der Funktion darauf gestoßen. Vielleicht hilft es ja... ...(aber helfen kann ich leider nicht)

Und wenn der eToken erstmal funktioniert, kann man Dir vielleicht sogar bei den restlichen Fragen helfen...

 

[burelli]

Hallo CMW,
danke für deine Hinweise. Ich habs am Wochenende mal kurz versucht. Leider bricht bei mir die installation von PCSC-Lite unverhofft ab :-(
Aber ich melde mich wieder sobald ich das im Griff habe und dann sehen wir weiter :-)

Bis dahin muß ich mich erst mal um meine äußerst zickige Netgear WG311T kümmern :-(
http://www.bsdforen.de/showthread.php?p=70942#post70942

Gruß Jan

 

[burelli]

Nach einiger Zeit ohne spielerchen (mein Chef meinte ich sollte lieber Arbeiten als am Server basteln *g*) wollt ich das Thema nochma aufwährmen und habe zwei Fragen zu GBDE:

Ich habe GBDE jetzt erst mal ohne den eToken im Einsatz, an dem werd ich mich in den nächten Monaten nochmal zu schaffen machen.

1. ist die Lock-Datei der Schwachpunkt? sprich wenn dem "FEIND" die Lock-Datei in die Hände fällt, hat er leichteres Spiel beim entschlüsseln?

2. ich habe über die Zeit immer mehr Platten ins System gehangen und muß jetzt 4x das Passwort beim Start eingeben. Giebt es eine Möglichkeit GBDE beizubringen das Passwort einmal zu akzeptieren und dann für alle Platten anzuwenden? ähnlich Sudo mit Zeitbeschränkung?

Danke für jede Hilfe
Gruß Jan

 

[undo]

1. ist die Lock-Datei der Schwachpunkt? sprich wenn dem "FEIND" die Lock-Datei in die Hände fällt, hat er leichteres Spiel beim entschlüsseln?

PHK hat 2003 und 2004 jeweils auf der BSDCon einen Vortrag über gbde gehalten und dabei natürlich auch etwas zur Verschlüsselung und ihrem Aushebeln gesagt. Hier der Vortrag von 2003:

http://phk.freebsd.dk/pubs/bsdcon-03.gbde.paper.pdf

Ich weiß im Moment nicht mehr ganz genau, ob es in diesem Vortrag oder woanders steht - soweit ich mich erinnere, senkt das Vorhandensein der Lock Dateien die Komplexität bei einem Angriff um eine Größenordnung, es ist aber immer noch eine massive Verschlüsselung vorhanden. Ich persönlich nutze Lock Sektoren, damit ich sie auch ja nicht verliere. Das erscheint mir sicher genug für meine Anwendung.

 

[Elessar]

1. ist die Lock-Datei der Schwachpunkt? sprich wenn dem "FEIND" die Lock-Datei in die Hände fällt, hat er leichteres Spiel beim entschlüsseln?

7.1. From passphrase to master key
It is generally accepted that a passphrase consist-
ing of one or more sentences in a human language only
contain about one bit of effective entropy per character,
and obviously they are variable length. Therefore the
passphrase is passed through the SHA2/512 one-way
hash algorithm. This transforms the variable length
passphrase to 512 bits which contain as much as possi-
ble of the entropy in the passphrase.

These 512 bits, called ‘‘the key material’’, are used to
locate and decrypt the so called ‘‘lock sector’’ which
contains the master-key and various parameters.
A compile time constant, sets the number of lock sector
copies supported, the default number is four. These
copies are located in four sectors chosen randomly at
the time when the device is initialised for GBDE usage.
The first 128 bits of the key material are used to
decrypt the sector offset of the encrypted and encoded
lock sector. The encrypted version of this offset can
either be stored in the first sector of the device or out-
side the device in a file.

Once read from disk, the next 256 bits of the key mate-
rial is used to decrypt the encoded lock sector using
AES/CBC/256.

The final 128 bits of the key material define the order
in which the fields of the lock sector are encoded.
Numeric fields are encoded in little-endian byte order
so that the on-disk format is portable between different
architectures. Once decoded, one of the fields offer a
MD5 hash checksum which can be used to prove that
this is actually a valid lock sector.

Das nicht-besitzen der lock-Datei verhindert es nicht GBDE zu "brechen", der Besitz der lock-Datei senkt den Arbeitsaufwand nur linear. Es ist immernoch leichter aus dem Besitzer die Passphrase herauszufoltern. Insofern ist die Datei nicht der Schwachpunkt. Das schwächste Glied in der Kette ist (wie es sein sollte) der Nutzer.

2. ich habe über die Zeit immer mehr Platten ins System gehangen und muß jetzt 4x das Passwort beim Start eingeben. Giebt es eine Möglichkeit GBDE beizubringen das Passwort einmal zu akzeptieren und dann für alle Platten anzuwenden? ähnlich Sudo mit Zeitbeschränkung?

Nein.
Tipp: verwende verschiedene Passwörter.