Festplattenverschlüsselung: was macht pefs addchain?

Mardor

Well-Known Member
Hallo,

ich weis nicht warum aber ich scheine irgendwie auf der Leitung zu stehen.

Eigentlich will ich einfach ein Verzeichnis haben bei dem ich nach belieben files reinkopieren kann und wenn ich fertig bin das Verzeichnis wieder umounten kann.

Folgendes habe ich bis jetzt getan:

Code:
cd /home/user1
mkdir data
pefs mount data data
pefs addkey data

copy /tmp/test.mp /home/user1/data
Damit sollte ich doch das Passwort für data gesetzt haben !?

Nachdem ich folgendes Kommando ausführe sehe ich auch nur noch einen random filename im Verzeichnis
Code:
pefs umount data
Wie kann ich jetzt aber das Verzeichnis wieder entschlüsseln, da mich "pefs mount data/ data/" nicht nach irgendeinem Passwort fragt ?

Gruß Mardor
 
Ok, ich bin mir zwar nicht sicher warum aber ich komme an meine Daten mit:

Code:
pefs mount data data
pefs addkey data

Gruß Mardor
 
Irgendwie verstehe ich trotzdem nicht für was dann "addchain" gut ist.

Die man page besagt das "addchain" "Add a new key chain element." Aber für was soll das gut sein ?

Gruß Mardor
 
Die obigen Posts stammen aus dem Thread [thread=28893]HowTo: Festplattenverschlüsselung pefs[/thread] und wurden auf Bitte des Autors verschoben.
 
Hallo Mardor,

du hast grundsätzlich 2 Möglichkeiten ein Verzeichnis zu verschlüsseln:

1. Mit einzelnen Schlüsseln (ohne eine keychain). In diesem Falle wird das Verzeichnis für den per addkey eingegebenen Schlüssel entschlüsselt. Das heißt wenn du Daten mit dem Kennwort "narf" verschlüsselt hast werden diese sicht- und bearbeitbar. Wenn du nun jedoch "zort" eingibst werden die Daten mit "zort" entschlüsselt. Sprich es können verschiedene Leute (bzw Kennwörter) in dem Verzeichnis aktiv sein. Es werden immer nur die Entschlüsselt die zum entsprechenden Kennwort gehören.
Nachteil dabei ist: Wenn du dich beim addkey mal vertippst und "narz" statt "narf" eingibst wird alles ab hier eben mit "narz" verschlüsselt. Dir fällt natürlich auf, dass du deine Dateien (die mit "narf" verschlüsselten) nicht siehst. Solltest du daran aber nicht denken hast du nun Daten die mit einem "unbekannten" (weil aus einem Tippfehler entstandenen) Passwort verschlüsselt sind. Es gibt bei dieser Verschlüsselungsart keine Datenbank die abgleichen könnte ob der Schlüssel schon da und gültig ist.


2. Du legst dir zunächst eine Keychain an. Die Keychain hat wiederum 2 Funktionen

2a) Die Keychain stellt eine Datenbank mit gültigen Schlüsseln zur Verfügung. Das unter 1. genannte Problem des "Vertippens" kann somit umgangen werden. Die Keychain liegt im unverschlüsselten Verzeichnis(!) und beinhaltet (natürlich in verschlüsselter Form) alle gültigen Schlüssel. Wenn du nun ein addkey mit der Option -c startest wirft es eine Fehlermeldung wenn es das eingegebene Kennwort nicht gibt. Aber eben NUR wenn du -c bei addkey anwendest. Das Weglassen erzeugt einen Schlüssel der nicht in der Keychain ist und du hast die selbe Funktionalität wie unter 1.

2b) Du kannst Schlüsselhierarchien erzeugen. Die Keychain kannst du dir dabei wie eine normale Kette vorstellen. Jedes Kettenglied (= Kennwort) hängt an einem Vorgänger (= parent). Eine Ausnahme bildet das erste Kettenglied. Die Eltern-Kind-Beziehung spiegelt dabei Zugriffsrechte wieder. Das heißt jeder Parentkey (also übergeordnete Kennwort) entschlüsselt automatisch alle Children (was sich Eltern seit Jahrhunderten wünschen).
Damit kann man unterschiedliche Berechtigungsstufen realisieren.
Wenn ich nicht allzu sehr irre sind Verschiedenen Ketten parallel möglich.

Ich hoffe das konnte etwas Licht in die keychain-Frage bringen.

edit: Das half mir beim Verständnis: https://wiki.freebsd.org/PEFS
 
Last edited:
Back
Top