Kompatibilität zu verschlüsselten Datenträgern

BSDThomas

Member
Hallo liebe community,

ich habe vor die Linux-Welt zugunsten von (Free)BSD zu verlassen.
Bisher habe ich FreeBSD - auch unter zuhilfename von Danschmids tollen Guides - als auch OpenBSD erfolgreich installieren und meinen bisherigen Systemaufbau weitestgehend replizieren können.
Ein mittelgroßes Problem besteht jedoch weiterhin:

Bisher hatte ich mein OS immer mittels LUKS vollverschlüsselt auf einer eigenen SSD und meine Daten auf einer separaten, ebenfalls via LUKS vollverschlüsselten großen SSD. So konnte/kann ich das OS immer recht einfach reinstallieren, reparieren, etc. ohne groß Daten sichern oder retten zu müssen (außer evtl. aktualisierte configs).
Die "große" SSD habe ich zusätzlich noch auf zwei externen, ebenfalls verschlüsselten SSDs gespiegelt, die ich in regelmäßigen Abständen aktualisiere.

Die Schwierigkeitt ist nun, dass ich diesen Aufbau gerne weiterhin so beibehalten würde.
FreeBSD lässt sich via ZFS ja hervorragend automatisch verschlüsseln. Auf die interne Daten-SSD lässt sich das, wie ich vermute und hoffe, auch anwenden.

Die Frage ist nun, welches Filesystem, Verschlüsselungsverfahren, etc. ich für die externe Backup-SSD anweden kann oder soll?
LUKS ist bekanntlich ja linuxonly, ich würde jedoch gerne zumindest die externe BackupSSD linuxkompatibel halten.
Eine möglichkeit wäre wohl diese mittels Veracrypt zu verschlüsseln.

Hat jemand Erfahrungen oder eine Idee, einen verschlüsselten Datenträger effizient (Free)BSD- und gleichzeitig linuxkompatibel zu machen.
Toll wäre es, wenn auch eine OpenBSD-kompatibilität erreicht werden könnte.

Die Verschlüsselung ist mir sehr wichtig.

Gruß
wilbert
 
Die verschlüsselung von ZFS sollte wohl mit Linux kompatibel sein, ist ja alles OpenZFS. Allerdings haben viele Linuxe da noch die alte Version, entweder darauf achten dass es ein Linux ist, was die neue Version mitliefert oder händische das Kernelmodul builden.

Ansonsten Veracrypt, das ist mit beiden, und auch noch Windows, kompatibel. Als FS würde ich dann tatsächlich ntfs verwenden (wenn du keine Unixrechte darauf benötigst)
 
ich glaube, dass wir hier schon mal Beiträge dazu hatten.

Und ich habe selbst keine Erfahrung damit, frage mich aber immer, warum nicht GPG benutzt wird.
Wie das mit kompletten Datenträgern aussieht, weiß ich nicht, aber ich verschlüssele damit einzelne Dateien und Verzeichnisse, die ich dann aber bei Bedarf (und nicht automatisch beim Booten) entschlüssele.
Ich bin nun wirklich Ahnungslos in diesen Dingen, aber ich glaube, dass Daten eben vulnerabel sind, sobald sie im laufenden System entschlüsselt vorliegen. Für mich und mein Sicherheitsempfinden genügt es deshalb, nur wenige Daten zu verschlüsseln.
Ich verstehe aber auch, dass anderen Anwendern dies nicht genügt.
Nur weiß ich nicht, inwieweit hier eine Verschlüsselung mittels GPG ebenfalls benutzt werden kann.
 
Ich habe für Datenträger, die von Linux, FreeBSD und evtl. noch Windows (Triple Boot System) gemeinsam genutzt werden sollen Veracrypt im Einsatz. Das funktioniert bestens und vollautomatisch. Unter Linux können Veracrypt Datenträger mit dem cryptsetup Framework beim Booten entsperrt werden, unter FreeBSD muss man sich selbst Startskripten bauen, angelehnt an die geli Skripten unter /etc/rc.d/, dann geht das auch vollautomatisch.

Als Dateisystem habe ich auf den Veracrypt Volumes NTFS oder ZFS (dann halt ohne Windows Zugriff) im Einsatz. Bei ZFS muss man aber aufpassen, die Feature Sets von Linux und *BSD sind nicht notwendigerweise 100% identisch, also beim Anlegen des Pools die Schnittmenge der Features verwenden.
 
GPG verschlüsselt doch generell per Public-/Private Key, und dürfte dann im Vergleich zu hardwareunterstütztem symmetrischem AES kreuzlahm sein. Oder nicht?
GPG generiert für eine Nachricht, bzw. Datei, einen zufälligen Key, mit dem dann Symetrisch verschlüsselt wird (z.b. AES). Nur dieser zufällige Key wird als Header asymetrisch per Pub/Private Key Verfahren verschlüsselt angehängt.
Zumindest gnupg kann aber auch komplett symetrisch verschlüsseln, (-c), es frägt dann klassisch nach einem Passwort.

Dennoch nutzt zumindest GnuPG soweit ich weiß keine Hardwareverschlüsselung via AES-NI.
 
Zumindest gnupg kann aber auch komplett symetrisch verschlüsseln, (-c), es frägt dann klassisch nach einem Passwort.
genau und was die Geschwindigkeit angeht: schneller als ich tippen kann, aber wie gesagt, bisher nur bei kleinen Verzeichnissen und hauptsächlich bei einzelnen Dateien gemacht, die ich dann etwa auf Sticks mit mir nehme.
Das kommt meinen Gewohnheiten eher entgegen, als komplett zu verschlüsseln (habe ich mich doch schon zu oft selbst ausgesperrt).
ZB:
Code:
gpg --output output-datei --recipient bsd-pit@weispit.eu --encrypt input-datei
verschlüsselt die Datei für mich asymetrisch
Code:
gpg --output output-datei --symmetric input-datei
verschlüsselt symetrisch und fragt nach einem Passwort, das beim entschlüsseln anzugeben ist, und
Code:
gpg --output output-datei --decrypt input-datei
entschlüsselt, nachdem der jeweilige Schlüssel eingegeben wurde.
Weil ich dabei immer eine neue Datei erzeuge, ist das sicher sehr viel langsamer, als das online Entschlüsseln mit HW-Unterstützung.
Es hat für mich den reiz, dass man eh überall sein GPG dabei hat und deshalb einfach nutzen kann.

Ich verstehe sehr wohl den Unterschied zu der Anfrage hier, wollte aber trotzdem darauf zu sprechen kommen, weil ich mir da auch weitere Möglichkeiten durchaus vorstellen kann, die ich selbst aber nicht in Anspruch nehme und weil es ja möglicherweise auch für den ein oder anderen Leser ausreichend sein mag.
 
Vielen Dank für die zahlreichen Antworten.
Also ZFS scheint ja recht vielversprechend zu sein und als Notfallersatz kommt noch Veracrypt in Frage.

Kann ich mit ZFS + Geli denn einfach so bspw. einen USB-Stick verschlüsseln?
 
Vielen Dank für die zahlreichen Antworten.
Also ZFS scheint ja recht vielversprechend zu sein und als Notfallersatz kommt noch Veracrypt in Frage.

Kann ich mit ZFS + Geli denn einfach so bspw. einen USB-Stick verschlüsseln?

Achtung, wir, bzw. zumindest Ich, haben hier von der nativen ZFS Verschlüsselung gesprochen, nicht von ZFS+Geli. Letzteres wird dir auf Linux nicht funktionieren!

Aber ja, sowohl native ZFS Verschlüsselung als auch ZFS+Geli gehen auch auf einem USB Stick, bzw. auf jedem Blockdevice. Für ZFS braucht es eine gewisse Größe aber selbst ab 4GB sollte das schon reichen damit nichts mault.
 
Weil ich dabei immer eine neue Datei erzeuge, ist das sicher sehr viel langsamer, als das online Entschlüsseln mit HW-Unterstützung.
Damit hast Du aber dann doch das Problem (wenn man es denn als Problem sehen will), dass die unverschlüsselten Daten sich auch nach dem erneuten Verschlüsseln noch auf dem Datenträger befinden und theoretisch wiederhergestellt werden können, wie bei jeder gelöschten Datei. Bei vollverschlüsseltem Datenträger hat man dieses Problem nicht.
 
Ich würde Bitlocker in den Ring werfen. :D

Eine meiner Festplatten ist per Bitlocker verschlüsselt. Allerdings hat diese Platte schon lange kein Windows mehr gesehen.
Mittels Dislocker habe ich sie unter Linux weitergenutzt und nun auch unter FreeBSD.
Das funktioniert bisher wunderbar. Lesend, wie auch schreibend.
 
Bei vollverschlüsseltem Datenträger hat man dieses Problem nicht.
Genau, vollverschlüsselte Datenträger sind eher das Rundum-Sorglos-Paket. Der Vorteil spielt sich auch dann aus, wenn der Datenträger irgendwann mal so kaputt geht, dass man ihn nicht mehr korrekt löschen kann. Vollverschlüsselt kann man ihn trotzdem sorgenfrei der Entsorgung zuführen.

Zum Thema noch eine Idee:
Je nach Bastelwille und Kapazität könnte man auch ein einfaches NAS mit z.B. einem kleinen PI bauen und verschlüsselt darauf die Platten (FreeNAS, XigmaNAS, nativ openZFS oder mit geli oder gemischt, geht alles). Je nach Client-OS macht man dann die Freigabe (samba, NFS etc.). Das hat den Vorteil, dass du dich nur einmal um das Backup des NAS kümmern musst, wenn das dann auf eine externe geschoben werden soll.

Für nicht ganz sooo ultrageheime Daten und wenn es schnell gehen soll, kann man auch einfach 7zip hernehmen. Mit der Option -mhe on -pmeinPasswort sieht man ohne PW auch nicht den Inhalt.
 
Je nach Bastelwille und Kapazität könnte man auch ein einfaches NAS mit z.B. einem kleinen PI bauen und verschlüsselt darauf die Platten


Ich hab sowas am laufen (PI 4), aber selbst mit adiantum (was es unter *bsd, bzw. openZFS nicht gibt) ist die Performance irgendwo bei 50 MB/s und das auf eine Einzelplatte, komplexe Setups mit Raid, Raidz will ich da garnicht andenken.
 
Naja, das ist einfach ein FUSE-Dateisystem. Das wird überall laufen, von FUSE unterstützt ist.
 
Die Frage ist nun, welches Filesystem, Verschlüsselungsverfahren, etc. ich für die externe Backup-SSD anweden kann oder soll?
LUKS ist bekanntlich ja linuxonly, ich würde jedoch gerne zumindest die externe BackupSSD linuxkompatibel halten.
Eine möglichkeit wäre wohl diese mittels Veracrypt zu verschlüsseln.

das ist zwar nun nicht unbedingt Linux kompatibel, aber: komisch, dass keiner zu pefs oder geli was geschrieben hat, oder ich habe das übersehen... Also ich habe externe Backups seit Jahren mit pefs und danach mit geli verschlüsselt. Hat bisher auch gut geklaptt und die Schreibperformance lag in etwa bei 100 MB/sec bei "normalen" Festplatten. Ich weiss nicht, ob Du das in Betracht nehmen möchtest? Ich kann Dir auch gerne ein kleines Programm schicken, dass das ganze (initialisieren, sichern, vergleichen) merklich vereinfacht. Was Du natürlich auch an Deine Bedüfnisse anpassen könntest :)

Grüsse, Norbert :)
 
das ist zwar nun nicht unbedingt Linux kompatibel, aber: komisch, dass keiner zu pefs oder geli was geschrieben hat, oder ich habe das übersehen... Also ich habe externe Backups seit Jahren mit pefs und danach mit geli verschlüsselt. Hat bisher auch gut geklaptt und die Schreibperformance lag in etwa bei 100 MB/sec bei "normalen" Festplatten. Ich weiss nicht, ob Du das in Betracht nehmen möchtest? Ich kann Dir auch gerne ein kleines Programm schicken, dass das ganze (initialisieren, sichern, vergleichen) merklich vereinfacht. Was Du natürlich auch an Deine Bedüfnisse anpassen könntest :)

Grüsse, Norbert :)

Hi, ich vermute das dies niemand hier vorgeschlagen hat daran liegt das "Linuxkompatibilität" eine der Kernanforderungen des OPs war ;)

Die Frage ist nun, welches Filesystem, Verschlüsselungsverfahren, etc. ich für die externe Backup-SSD anweden kann oder soll?
LUKS ist bekanntlich ja linuxonly, ich würde jedoch gerne zumindest die externe BackupSSD linuxkompatibel halten.
 
BTW: Weil ich es letztens gesehen habe:

Damit kannst Du weiter auf GELI setzten und es auch unter Linux entschlüsseln.
Getestet habe ich es aber noch nicht.
 
Danke für eure ganzen Hilfen und Beiträge :)
Habe FreeBSD jetzt soweit fast vollständig aufgesetzt. Ein paar Kinderkrankheiten muss ich noch in den Griff bekommen aber das wird denke ich kein Problem.

Meine Backupplatte habe ich jetzt vorerst mit veracrypt verschlüsselt (ntfs). Das funktioniert wunderbar in beide Richtungen. Obwohl ich eigentlich gar nicht vor habe, zu linux zurückzukehren. Ich möchte mir nur die möglichkeit offenhalten im Falle eines Ausfalls des Hauptsystems schnell z. B. mittels eines Linux bootsticks an meine Daten zu kommen.

Die FreeBSD System-SSD habe ich mittels geli auf zfs verschlüsselt.

Nur bei der internen Daten-SSD habe ich noch nichts gemacht. Dort versuche ich auch geli auf zfs. Muss nur mal schauen, ob ich die beim booten evtl auch schon direkt entschlüsseln und mounten kann (im sinne von einer crypto_keyfile und einem eintrag in crypttab bei linux). Wenn das nicht geht, nicht schlimm. Wenn doch, hervorragend.

Portable-Geli sieht super aus, das schaue ich mir gleich mal an. :)

Allgemein muss ich zu FreeBSD sagen dass ich es super finde! Läuft performant, sparsam und gefällt mir richtig gut. Alle pakete die ich brauche, finde ich bzw. finde perfekte alternativen und interessanterweise habe ich den eindruck, dass VirtualBox VMs unter FreeBSD weniger cpu leistung beanspruchen als unter Linux. Beinah so wenig wie kvm vms. Das könnte aber natürlich auch Einbildung sein.

Ich halte euch auf dem Laufenden.

Gruß
Wilbert

Edit:
Habe mir portable-geli angesehen und es sieht vielversprechend aus. Kann ich geli nur auf zfs und dann auf open-zfs untet linux nutzen oder auch auf z.b. ntfs?

@MichaZ bitlocker kommt, da propreitär, für mich leider nicht in Frage. Dennoch danke für den Vorschlag.

@Rosendoktor : Deine Herangehensweise klingt auch wirklich hervorragend! Sind die startskripten zum automatischen entschlüsseln der veracrypt platte denn sehr kompliziert und kannst du damit auch ntfs platten automatisch mounten? Bei meiner externen platte (ntfs) kann ich diese mit veracrypt entschlüsseln, mounten muss ich sie wegen eines bugs aber manuell
 
Zuletzt bearbeitet:
Allgemein muss ich zu FreeBSD sagen dass ich es super finde! Läuft performant, sparsam und gefällt mir richtig gut. Alle pakete die ich brauche, finde ich bzw. finde perfekte alternativen und interessanterweise habe ich den eindruck, dass VirtualBox VMs unter FreeBSD weniger cpu leistung beanspruchen als unter Linux. Beinah so wenig wie kvm vms. Das könnte aber natürlich auch Einbildung sein.

Das klingt ja schön - und FreeBSD ist definitiv einen Blick wert... Es gibt ein paar Sachen, die dort nicht "nativ" gehen. Z.B. hätte ich gerne einen Signal Messenger Client - es geht wohl mit emulation :) Bei mir laufen alles PCs und Laptop unter FreeBSD und fast alle meine Server auf meiner Arbeitsstelle :)
VG Norbert
 
Danke für eure ganzen Hilfen und Beiträge :)
Habe FreeBSD jetzt soweit fast vollständig aufgesetzt. Ein paar Kinderkrankheiten muss ich noch in den Griff bekommen aber das wird denke ich kein Problem.

Meine Backupplatte habe ich jetzt vorerst mit veracrypt verschlüsselt (ntfs). Das funktioniert wunderbar in beide Richtungen. Obwohl ich eigentlich gar nicht vor habe, zu linux zurückzukehren. Ich möchte mir nur die möglichkeit offenhalten im Falle eines Ausfalls des Hauptsystems schnell z. B. mittels eines Linux bootsticks an meine Daten zu kommen.

Die FreeBSD System-SSD habe ich mittels geli auf zfs verschlüsselt.

Nur bei der internen Daten-SSD habe ich noch nichts gemacht. Dort versuche ich auch geli auf zfs. Muss nur mal schauen, ob ich die beim booten evtl auch schon direkt entschlüsseln und mounten kann (im sinne von einer crypto_keyfile und einem eintrag in crypttab bei linux). Wenn das nicht geht, nicht schlimm. Wenn doch, hervorragend.

Das klappt. Du kannst einen Keyslot nur mit einem Keyfile erstellen (-P -K) und dann automatisch z.b. per rc.local beim boot mounten. Auch könntest du das Passwort selbst über ein File an geli übergeben (-j).

Allgemein muss ich zu FreeBSD sagen dass ich es super finde! Läuft performant, sparsam und gefällt mir richtig gut. Alle pakete die ich brauche, finde ich bzw. finde perfekte alternativen und interessanterweise habe ich den eindruck, dass VirtualBox VMs unter FreeBSD weniger cpu leistung beanspruchen als unter Linux. Beinah so wenig wie kvm vms. Das könnte aber natürlich auch Einbildung sein.

VirtualBox verwendet unter Linux seit langer Zeit schon KVM, ist also wohl ein Einbildung :D

Habe mir portable-geli angesehen und es sieht vielversprechend aus. Kann ich geli nur auf zfs und dann auf open-zfs untet linux nutzen oder auch auf z.b. ntfs?

Also eigentlich ist es ja zfs auf geli und nicht anders rum :)
Und ja auch NTFS auf geli sollte dann kein Problem sein, geli und portable geli arbeiten ja auf Blockdevice-Ebene.

Zu beachten bei der Doppelnutzung von NTFS auf Linux und BSD: Mit der kommenden Kernelversion wird Linux nen neuen Kerneltreiber für NTFS (read und write) verwenden, nicht mehr ntfs-3g. Ich weiß nicht wie kompatibel dass dann noch ist, also vielleicht auf Linux explizit mit ntfs-3g weiterarbeiten
 
Naja, das ist einfach ein FUSE-Dateisystem. Das wird überall laufen, von FUSE unterstützt ist.
es ging dabei hierum: https://github.com/Aorimn/dislocker/blob/master/INSTALL.md
was ein fuse-Treiber für BitLocker ist.
Diesem BitLocker begegne ich häufiger, er wäre nicht meine Wahl, aber er wird mir vorgesetzt und es wäre schon interessant, wenn ich meine Datensicherungen auch "am System vorbei" machen könnte und dafür nicht erst das komplette Device erst noch entsperren müsste (und nachher wieder versperren).
Deshalb hatte mich der Ansatz natürlich auf Anhieb interessiert und es macht nun nicht den Eindruck, als könne man das nicht auch in FreeBSD integrieren. Allerdings ist da ja der Wartungsaufwand, wenn man so eine Lösung selbst installiert und nicht aus Paketen oder Ports nehmen kann. Das ist mir dann doch zu unbequem. Typischerweise passt ja genau dann was nicht, wenn man so nach Monaten mal wieder die Anwendung benutzen möchte.

Trotzdem nochmal Danke für den Hinweis und die Erklärung.
 
Zurück
Oben