hi
erstmals danke für die antworten.
also soweit ich die antwort von elessar verstanden habe, ist es also nicht möglich, auf festplatten mit bestehenden daten zu verschlüsseln und auch netbsd selbst wäre nicht möglich zu verschlüsseln, da ja das betriebsystem schon auf der festplatte existiert. mal nebenbei gefragt: wird es jemals mit cgd möglich sein?
Man kann nicht die gesamte Festplatte verschlüsseln, da das System ja erstmal bis zu einer gewissen Stufe gebootet werden muss, bevor CGD greifen kann. Home, Swap und Temp lassen sich problemlos verschlüsseln, nicht-kritische Dateisysteme wie /var oder /usr/X11R6 sicherlich auch, aber /etc /bin /sbin etc. pp nicht, da ja die Binaries verfügbar sein müssen.
Ohne einen Bootloader, der ein System soweit hochbringt, das man CGD entschlüsseln kann, wird es niemals möglich sein, / zu verschlüsseln.
so zu meiner eigentlichen frage, wenn ich jetzt nach einer netbsd installation, eine weitere neue partition für "/home" erstellen, könnte ich ja mit cgd den userdaten teil verschlüsseln?
Ja, dafür ist CGD gedacht.
wenn das geht, wäre sowas auch mit einiegen teilen des betriebsystem, bsp. "/etc", "/usr" etc. möglich, indem ich die daten wärend der partitionserstellung für "/etc", "/usr" etc. auf einem usb stick halte?
Kommt auf den Teil an, Erläuterung siehe oben. Wobei hier fraglich ist warum du /usr verschlüsseln willst, normalerweise liegt da nichts wichtiges, nur System-Binaries.
zum schluss noch ne sicherheitsfrage, wenn das mit "/home", "/etc", "/usr" etc. funktioniert, wie sicher ist es den, wenn mir jemand bsp. die festplatte klaut (resp. ganzer laptop). kann der über den rest der festplatte, die ja offen sind auf die verschlüsselungsteile der festplatte zugreifen? indem er bsp. die festplatte in einen anderen computer einbaut und mounted oder andere techniken anwenden?
Wie o.g. habe ich /home, /tmp und swap mit cgd verschlüsselt. Solange keine wichtigen Daten außerhalb von /home landen, ist das recht sicher. Einzig die Kofigurationsdatei für cgd unter /etc/cgd/ ist gefährdet, da in ihr der SALT enthalten ist. Der Salt wird verwandt um Wörterbuch-Attacken gegen das Passwort zu erschweren. Mit dem Salt werden derartige Angriffe vereinfacht, man kann die Datei aber auch auf einem externen Datenträger unterbringen, bspw. einem USB-Stick. Bewahrt man den getrennt vom Laptop auf, ist es nahezu unmöglich die Daten zu cracken. Der größte Schwach- und damit Angriffspunkt ist das Passwort. Wenn du da ein einfaches nimmst, nutzt CGD nichts. Außerdem muss natürlich die Datensicherung verschlüsselt werden.
Da man normalerweise CGD auf einer leeren Partition einrichtet, sollte man die verschlüsselte Partition einmal mit Zufallsdaten (cat /dev/urandom oder MP3s oder Videos) befüllen, um Wasserzeichen-Attacken zu erschweren. Alte, unverschlüsselte Daten müssen zwingend mit destroy oder wipe sicher gelöscht werden.
Weiterhin kann man CGD mit CFS kombinieren. Da ein eingebundenes CGD nicht mehr schützt, da es ja transparent ist, bietet sich CFS an. Es ist in pkgsrc enthalten und funktioniert so ähnlich wie NFS, d.h. man hat ein verschlüsseltes Verzeichnis liegen und einen Dæmon, der auf lo0 lauscht. Gibt man das Passwort an, kann man auf die verschlüsselten Dateien zugreifen, wie über den lokalen Dæmon transparent entschlüsselt werden. Auf meinem Laptop habe ich CFS für meine Mailbox, GnuPG und einige Daten-Verzeichnisse in Gebrauch und mounte es nur ein, wenn ich in sicheren Umgebungen bin. In Unsicheren, bspw. zu einem Vortrag oder so, lasse ich CFS aus, so das selbst ein Einbrecher mit Root-zugriff die Daten erst knacken müsste.
Wenn du wirklich paranoid bist, kannst du ein System mit CGD für Swap, Temp und Home aufsetzen und darin mit XEN eine weiteres System emulieren. Da XEN ein Image verlangt, kannst du dies in Home ablegen und somit mit CGD transparent verschlüsseln. Zusätzlich ginge noch CFS, dann ist es doppelt gesichert. In dem so verschlüsselten Image ist dann ein NetBSD installiert, mit dem du arbeiten kannst. Diese Variante ist aber echt pervers und gr
ottenlahm, also nicht wirklich empfehlenswert.
weitere Infos in:
Einführung in kryptographische Methoden:
http://cryptomancer.ath.cx/~stefan/21c3/21c3-kryptograhie-paper.pdf
Methoden zur Datensicherung -- Strategien und Techniken für NetBSD --
http://www.net-tex.de/backup.pdf, behandelt Datensicherung und CGD/CFS
Verschlüsselte Dateisysteme für NetBSD:
http://www.net-tex.de/netbsd/advocacy/druck/guug-uptimes-cgd_cfs.pdf