Ich würde ja gerne... GBDE

rakso

Well-Known Member
was mich davon abhält ist folgendes:


- Backups müssten sinnvollerweise auch mit verschlüsselt werden.
Wie macht man da die Aufteilung auf Backupmedien-Größe?


Und vor allem die Angst, wegen eines Softwarefehlers oder der Passphrase JEGLICHE Daten zu verlieren, ist groß.


PHK schreibt in bsdcan-04.slides.gbde.pdf zur Passphrase folgendes:

"Make your passphrase consist of two parts:
– The stuff you type in from the keyboard
– 1-8 kbyte of random bits stored on USB key."

”Something you know + something you have” principle.


So ein USB-Stick kann ja auch kaputt gehn.. Da traue ich meinem Gedächtnis (Was ist bei schwerem Unfall?? - nagut, dann wird man die Daten vl eh nichtmehr brauchen, aber andere?) doch mehr zu als einem billigen USB-Stick.


Schreibt doch einfach mal, wie ihr das seht und handhabt.
 
Last edited:
Hallo rakso!

Also ich muss sagen ich war auch lange am grübeln. Habe dann ein Raid gemacht, also eine gespiegelte Platte und dann GBDE. Tja und was soll man sagen zum Risiko, natürlich kann der Blitz einschlagen und dann ist der Rechner kaputt (für ganz paranoide: Und gleichzeitig brennt die Wohnung vom Kumpel ab wo die Backups liegen), also ein Restrisiko besteht immer :-)

Achja riskant ist das ganze sowieso: Ich hatte das System aufgesetzt auf einer extra-Platte. 2 Platten für die Daten (als Raid) und was soll man sagen wollte mit der Aufspiegelun der Daten beginnen raucht die Systemplatte ab. Einfach ein Headcrash. Konnte glücklicherweise nochmal anfangen mit dem ganzen ohne Datenverlust. Habe mir jetzt zumindest den Schlüssel nochmal extern gesichert. Das sollte man wirklich tun. Und ob es nun ein USB-Stick oder sonstwas ist, hauptsache du hast den ein zweites mal weil wenn der Weg ist wars das sowieso mit den Daten.

Zurück zum GBDE, das läuft jetzt seit einigen Monaten recht stabil bei mir. Ich habe noch keine Daten verloren und mein Eindruck ist das das auch nicht passiert. Aber den Raid-Mechanismus habe ich schon mal getestet im vorwege, sprich einfach mal eine Platte vom Strom geklemmt und dann das ganze Prozedre durchspielen: Welche Meldungen macht der Raid-Controller, wie bekomme ich die Daten von der einen Platte auf die vermeintlich neue Platte usw. Das hat mir zumindest ein wenig Vertrauen in diese ganze Sache gebracht.
Um nochmal zu den Daten zu kommen, ich habe die Erfahrung gemacht, das viele Dinge meist nicht den Wert haben, den man ihnen zuschreibt. Aber nur meine Meinung.

Gruss und ein sorgenfreies Jahr
Durandal
 
Hallo Durandal

Du hast ein RAID - womit?

Ich habe momentan eine Vinum-Installation mit concat drives am Laufen, vertraue dem aber nicht allzusehr, weil ich keine Erfahrungen im Fehlerfall damit habe. "Es läuft halt".

Habe von den letzten Entwiclungen leider nicht viel mitbekommen, mit geom ist nun aber auch RAID möglich? Falls es gute Texte/HOWTOs dazu gibt, würd ich mich über URLs freuen... ( http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html hab ich schon im Browser offen)



Habe mir jetzt zumindest den Schlüssel nochmal extern gesichert. Das sollte man wirklich tun. Und ob es nun ein USB-Stick oder sonstwas ist, hauptsache du hast den ein zweites mal weil wenn der Weg ist wars das sowieso mit den Daten.
Du hast also keine passphrase im Sinne eines langen Passworts zum Eingeben über die Tastatur sondern nur was auf USB-Stick? Da habe ich große Bedenken, weil der kann ja einfach entwendet werden - zumal er haus Redundanz-Gründen mindestens doppelt vorhanden sein muss. Was ich im Kopf habe, kann nicht ganz so einfach (zumindest nicht ohne, das ich es mitbekomme) entwendet werden.


das ganze Prozedre durchspielen: Welche Meldungen macht der Raid-Controller, wie bekomme ich die Daten von der einen Platte auf die vermeintlich neue Platte usw. Das hat mir zumindest ein wenig Vertrauen in diese ganze Sache gebracht.
Ah, du hast einen RAID-Controller. Aber ich sollte mich wirklich mal mit vinum näher beschäftigen - dazu fehlen mir momentan noch weitere Platten, auf die das ganze System mal komplett gebackuppt werden. So eine 200 GB Platte sollte ich mir mal anschaffen, kostet ja nichtmeht die Welt.


Um nochmal zu den Daten zu kommen, ich habe die Erfahrung gemacht, das viele Dinge meist nicht den Wert haben, den man ihnen zuschreibt. Aber nur meine Meinung.
Da hast du sicher auch recht.

Aber:
- Die Daten als Gesamtheit lassen die Konstruktion eines sehr genauen Bildes über den Besitzer zu. Auch wenn es sich dabei auf den ersten Blick nur um "nicht schützenswerte" Daten handelt. Besonders wenn noch eine sehr umfangreiche Bilddatenbank mit vielen privaten Bildern dabei ist.

- Selbsg vor einem simplen Einbrecher gegenüber würde ich doch nahezu alles schützen wollen. Besonders, wenn der Einbrecher das Ziel hat, die den aus den Daten über mich gewonnen Erkenntnissen gegen mich einzusetzen. Das selbe trifft auch auf unsere Staatsmacht zu.

Unter diesen Gesichtspunkten betrachtet macht es Sinn, jedes selbst produzierte Bit zu verschlüsseln. Einzige Ausnahme würde ich bei einem downgeloadeten Knoppix ISO machen.


... Aber dann ist auch klar, das uU recht viel verschlüsselt werde muss.

.-... nur so ein paar Gedanken.. freue mich über Austausch!
 
Last edited:
rakso said:
Du hast ein RAID - womit?

Naja habe mir einen PCI-Raid Controller von (Promise Fasttrack 2000 TX) geholt und an diesen die beiden Datenplatten angeschlossen (2x200 GB). Sollte eine der beiden Platten kaputt gehen (Headcrash o.ä.) dann sind die Daten auf der anderen Platte halt nochmal gespiegelt drauf (Nennt man Raid 1) so das man nichts verloren hat. Denn was nützen super-sicher verschlüsselte Daten wenn diese nicht halbwegs sicher abgelegt sind? Leider nichts. Und da die Festplatten das Gerät sind was am ehesten kaputt geht habe ich halt hier besonderen Wert drauf gelegt.

Wegen dem Schlüssel: Ich meine es gab so einen Schlüssel der generiert wurde und dann noch ein Passwort. Diesen Schlüssel habe ich mir halt gesichert so das ich an diesen immer rankomme. Das Passwort habe ich im Kopf. Nur mit beidem zusammen kommt man an die Daten. Deswegen ist es der Horror wenn der Schlüssel weg ist (wie Du schon sagtest, USB-Stick kaputt o.ä.). Ich meine das es auch völlig langt nur mit dem Passwort zu arbeite weil ohne das Passwort ist es so gut wie unmöglich an die Daten zu kommen (lt. manpage). Solltest Du also mal böse hinfallen und das vergessen wars das mit Deinen Daten, vorrausgesetzt Du erinnerst Dich überhaupt noch das Du Daten abgelegt hattest :-)

So long,
Durandal
 
rakso said:
"Make your passphrase consist of two parts:
– The stuff you type in from the keyboard
– 1-8 kbyte of random bits stored on USB key."

”Something you know + something you have” principle.


So ein USB-Stick kann ja auch kaputt gehn.. Da traue ich meinem Gedächtnis (Was ist bei schwerem Unfall?? - nagut, dann wird man die Daten vl eh nichtmehr brauchen, aber andere?) doch mehr zu als einem billigen USB-Stick.
Du musst den Schlüssel ja einerseits nicht nur auf dem USB-Knüppel haben, sondern kannst ihn ja auch noch woanders sichern. Praktisch werden soweit ich das beurteilen kann auch nur 16 Bytes anstatt 1-8 kBytes momentan verwendet. Die kann man auch per hexdump zur Sicherung auf Papier abschreiben. Wenn die Frage der Sicherheit nicht ganz so kritisch ist, kannst du den Schlüssel auch auf der Platte lassen und allein durch die Geheimparole Zugriff erlangen.

Björn
 
Ich sollte erstmal so ein System in Gang bringen und damit herumspielen. Sonst redet wieder mal der Blinde über Farbe ;)
 
Back
Top