Verschlüsselt Ihr Eure Festplatte?
- Ersteller bsdagent
- Erstellt am
Naja, nicht alle. Performancegründe scheiden bei mir dank Padlock aus. "Ist mir egal, ich hab eh nichts zu verbergen" bleibt hoffentlich unbenutzt... 
Nur weil man verschlüsselt heißt das nicht, dass man etwas zu verbergen hat (imho).
Gruß
Nur weil man verschlüsselt heißt das nicht, dass man etwas zu verbergen hat (imho).Gruß
Meinen Laptop habe ich komplett verschlüsselt.
Da kommt es ja auch nicht so sehr auf Datendurchsatz an, von daher kann ich dem Schutz meiner Daten da eine hohe Priorität einräumen.
Das hat aber einfach nur mit den persönlichen Daten im Fall eines Diebstahls zu tun.
Meine Rechner zu Hause sind alle nicht verschlüsselt, da da in der Regel keiner dran kommt und ich auch keine Daten habe, die unbedingt verschlüsselt werden müssten.
Gruß, Cessel
Da kommt es ja auch nicht so sehr auf Datendurchsatz an, von daher kann ich dem Schutz meiner Daten da eine hohe Priorität einräumen.
Das hat aber einfach nur mit den persönlichen Daten im Fall eines Diebstahls zu tun.
Meine Rechner zu Hause sind alle nicht verschlüsselt, da da in der Regel keiner dran kommt und ich auch keine Daten habe, die unbedingt verschlüsselt werden müssten.
Gruß, Cessel
Es fehlt teilweise.
Ich habe einige sensible Daten in verschlüsselten Images. Ganze Festplatten oder Partitionen (abgesehen von denen im Image natürlich) habe ich nicht verschlüsselt.
Da ich mit meinem automounter aber inzwischen eine komfortable USB-Stick-einsteck-Lösung habe kann ich mir das für die Zukunft vorstellen. Das müssten dann natürlich late Dateisysteme sein und ich müsste das Skript abändern, dass es beim Boot nicht forkt sonder wartet bis amd aktiv ist. Und das kann ziemlich lange dauern.
Edit:
Ich habe mal Ja gewählt, weil ich ja tatsächlich verschlüsselte Dateisysteme verwende.
Ich habe einige sensible Daten in verschlüsselten Images. Ganze Festplatten oder Partitionen (abgesehen von denen im Image natürlich) habe ich nicht verschlüsselt.
Da ich mit meinem automounter aber inzwischen eine komfortable USB-Stick-einsteck-Lösung habe kann ich mir das für die Zukunft vorstellen. Das müssten dann natürlich late Dateisysteme sein und ich müsste das Skript abändern, dass es beim Boot nicht forkt sonder wartet bis amd aktiv ist. Und das kann ziemlich lange dauern.
Edit:
Ich habe mal Ja gewählt, weil ich ja tatsächlich verschlüsselte Dateisysteme verwende.
Zuletzt bearbeitet:
Das könnte für "ja" und für "nein" zutreffen. Traust du der Verschlüsselungstechnik nicht?
bsdagent
Auch im #bsdforen.de Chat
Hi
Da einiege probleme mit der Technik haben, hab ich hier mal eine Provisorische Doku direkt aus meiner Doku als txt format erzeugt.
Bin grad an der Referenzkontrolle, sollte aber Funktionieren und zielt auf folgendes:
- FreeBSD Basisinstallation ohne Sysinstall, braucht also nur livefs CD die kleiner als disc1 ist.
- Auf eine oder zwei Speichermedien: Bootlaufwerk (oder Slice 1) und Systemlaufwerk (oder Slice 2)
- Die Basisinstallation ist direkt auch eine aktualisierung, also keinen eigenen Kernel oder System update nach der installation
.
- Kryptographie mit GELI und Blowfish 448-Bits (Inkl. Key und Passphrase).
Wer mit Administration, Kernelbau und Systemupdate zurecht kommt, sollte keine probleme haben. Beim test kann man auch ruhig alles abschreiben, sollte generell Funktionieren und kann danach genauer Analysieren.
Gruss
bsdagent
P.S. Bezüglich Slice und Partitionsgrösse sind die Werte aus der Doku aus Testgründen grosszügig gewählt. Werde sie nach abschluss meiner arbeit korrigieren.
EDIT:
Die Referenzkontrolle ist erfolgreich abgeschlossen
. Es funktioniert also mit FreeBSD 7.0 Release problemlos. Nach installation hat er nach Passphrase gefragt und nach login bei Befehl "uname -a" kam die aktualisierung zum vorschein:
Da einiege probleme mit der Technik haben, hab ich hier mal eine Provisorische Doku direkt aus meiner Doku als txt format erzeugt.
Bin grad an der Referenzkontrolle, sollte aber Funktionieren und zielt auf folgendes:
- FreeBSD Basisinstallation ohne Sysinstall, braucht also nur livefs CD die kleiner als disc1 ist.
- Auf eine oder zwei Speichermedien: Bootlaufwerk (oder Slice 1) und Systemlaufwerk (oder Slice 2)
- Die Basisinstallation ist direkt auch eine aktualisierung, also keinen eigenen Kernel oder System update nach der installation
.- Kryptographie mit GELI und Blowfish 448-Bits (Inkl. Key und Passphrase).
Wer mit Administration, Kernelbau und Systemupdate zurecht kommt, sollte keine probleme haben. Beim test kann man auch ruhig alles abschreiben, sollte generell Funktionieren und kann danach genauer Analysieren.
Gruss
bsdagent
P.S. Bezüglich Slice und Partitionsgrösse sind die Werte aus der Doku aus Testgründen grosszügig gewählt. Werde sie nach abschluss meiner arbeit korrigieren.
EDIT:
Die Referenzkontrolle ist erfolgreich abgeschlossen
. Es funktioniert also mit FreeBSD 7.0 Release problemlos. Nach installation hat er nach Passphrase gefragt und nach login bei Befehl "uname -a" kam die aktualisierung zum vorschein:
Zuletzt bearbeitet:
Ich verschlüssel nicht, weil ich ein Desktop-System habe. Und deshalb sehe ich keinen Grund zur Verschlüsselung. Wer bei mir zu Hause einbricht und den PC mitnimmt, kann für wichtige Daten auch in meinem echten Papieren stöbern oder mitgehen lassen. Ich müsste also eigentlich auch meine Papierdokumente verschlüsseln oder in einen Safe einsperren, damit das Desktop-Verschlüsselung auch Sinn machen würde.
Deshlab: Nein, aus Performancegründen.
Hätte ich ein Notebook, mit dem ich unterwegs bin, würde ich auf jeden Fall verschlüsseln.
Deshlab: Nein, aus Performancegründen.
Hätte ich ein Notebook, mit dem ich unterwegs bin, würde ich auf jeden Fall verschlüsseln.
FreeBSDuser
Well-Known Member
Ich verschlüssele per Geli (Blowfish 448 Keyfile+Passwort) meine /home Partition. Funktioniert alles Perfekt und sehr schnell. Auch wenn ich nicht unbedingt weltbewegende Dinge darauf lagere ist es ein beruhigendes Gefühl. Ausserdem sehr "cool".
@bsdagent: GLABELs wären doch Praktisch... bei newfs einfach noch nen -L <NAME> anhängen. Die Swap Partition könne doch mit der extra für swap Partitionen gemacht onetime Verschlüsselung verschlüsselt werden.
Hmm, warum mergemaster ? Ich erstell mach bei Neuinstallationen immer "# make distribution DESTDIR=/mnt"
@bsdagent: GLABELs wären doch Praktisch... bei newfs einfach noch nen -L <NAME> anhängen. Die Swap Partition könne doch mit der extra für swap Partitionen gemacht onetime Verschlüsselung verschlüsselt werden.
Hmm, warum mergemaster ? Ich erstell mach bei Neuinstallationen immer "# make distribution DESTDIR=/mnt"
FreeBSDuser
Well-Known Member
tse
soul_rebel
ist immer auf der flucht
Ich verschlüssel ziemlich viel, manches nicht. Zufallszahlenpartitionen gibt es auch...
Näheres sage ich dann mal aus Sicherheitsgründen nicht
Näheres sage ich dann mal aus Sicherheitsgründen nicht
s-tlk
Lion King Fan
Nunja ich hab eine Backup Platte, die ich öfters mit unterwegs habe, die natürlich vollständig verschlüsselt ist, falls sie mir geklaut wird (geli AES 256bit). Zuhause ist mein home Verzeichnis nicht verschlüsselt, aber ich habe eine Partition, wo ich einige Ideen und Gedanken niedergelegt habe, mit denen ich vllt später mal mein Geld verdienen werde. Da möchte ich nicht, das es in die falschen Pfoten gerät.
Aber Verschlüsselung bringt meistens nicht viel, wenn jemand physikalischen Zugriff auf das System hat. Und besonders "leicht" ist es, wenn nur Teile verschlüsselt sind. Dort kann dann jemand einfach ein manipuliertes geli/gbde, was auch immer, ls, und hash auf die Platte kopieren, wo dann das manipulierte geli/gbde das Passwort bzw das Keyfile snifft. Dann kommt man entweder später wieder und "klaut" die Daten, oder der Rechner wird direkt eingesackt. Ich hab mir da eine Methode ausgeklügelt, die das verhindern sollte, aber die hat auch ihre Schwächen und ich vertraue da auch teilweise einfach auf die Inkopetenz dieser Leute.
Nein das werde ich jetzt nicht verraten, was ich da gemacht habe. ^^
Aber Verschlüsselung bringt meistens nicht viel, wenn jemand physikalischen Zugriff auf das System hat. Und besonders "leicht" ist es, wenn nur Teile verschlüsselt sind. Dort kann dann jemand einfach ein manipuliertes geli/gbde, was auch immer, ls, und hash auf die Platte kopieren, wo dann das manipulierte geli/gbde das Passwort bzw das Keyfile snifft. Dann kommt man entweder später wieder und "klaut" die Daten, oder der Rechner wird direkt eingesackt. Ich hab mir da eine Methode ausgeklügelt, die das verhindern sollte, aber die hat auch ihre Schwächen und ich vertraue da auch teilweise einfach auf die Inkopetenz dieser Leute.
Nein das werde ich jetzt nicht verraten, was ich da gemacht habe. ^^
FreeBSDuser
Well-Known Member
Schon zwei Leute mit Security-by-Obscurity - Nicht das es nicht helfen würde.
- Nicht das es nicht helfen würde.
bsdagent
Auch im #bsdforen.de Chat
Hi
Warum ist die Geld vermehrung meist das ausschlagende Argument für verschlüsselung?
Ist Privatsphäre so egal?
Vorallem ist ein Phänomen zu sehen: Viele glauben, mit Ihren Daten ist nichts anzufangen oder belanglos, wenn die mal weg sind. Was ist mit dem Szenario, dass wenn die Daten mal weg sind und diese aktiv dem Eigentümer schadet er das Schadensszensario aber nicht voraus gesehen hat?
Joar, verschlüsselung alleine darf man auch nicht vertrauen, da müssen weitere Defensive wenn nicht sogar Offensive Mechanismen vorhanden sein. Doch Festplattenverschlüsselung ist der anfang aller sicherheiten, den mit dem installieren des Betriebsystems beginnt die nutzung der verschlüsselung.
Gruss
bsdagent
P.S. Es freut mich das aktuell soviele es nutzen auch wenn bei einiegen nur teilweise, ist besser als nix.
Warum ist die Geld vermehrung meist das ausschlagende Argument für verschlüsselung?
Ist Privatsphäre so egal?
Vorallem ist ein Phänomen zu sehen: Viele glauben, mit Ihren Daten ist nichts anzufangen oder belanglos, wenn die mal weg sind. Was ist mit dem Szenario, dass wenn die Daten mal weg sind und diese aktiv dem Eigentümer schadet er das Schadensszensario aber nicht voraus gesehen hat?
Aber Verschlüsselung bringt meistens nicht viel, wenn jemand physikalischen Zugriff auf das System hat. Und besonders "leicht" ist es, wenn nur Teile verschlüsselt sind. Dort kann dann jemand einfach ein manipuliertes geli/gbde, was auch immer, ls, und hash auf die Platte kopieren, wo dann das manipulierte geli/gbde das Passwort bzw das Keyfile snifft. Dann kommt man entweder später wieder und "klaut" die Daten, oder der Rechner wird direkt eingesackt. Ich hab mir da eine Methode ausgeklügelt, die das verhindern sollte, aber die hat auch ihre Schwächen und ich vertraue da auch teilweise einfach auf die Inkopetenz dieser Leute.
Nein das werde ich jetzt nicht verraten, was ich da gemacht habe. ^^
Joar, verschlüsselung alleine darf man auch nicht vertrauen, da müssen weitere Defensive wenn nicht sogar Offensive Mechanismen vorhanden sein. Doch Festplattenverschlüsselung ist der anfang aller sicherheiten, den mit dem installieren des Betriebsystems beginnt die nutzung der verschlüsselung
.Gruss
bsdagent
P.S. Es freut mich das aktuell soviele es nutzen auch wenn bei einiegen nur teilweise, ist besser als nix
.
Zuletzt bearbeitet:
Wieso weil du der Technik nicht traust?
Meinst du, dass du sonst irgend wann nicht mehr an die Daten ran kommst weil was falsch läuft? Dafür gibt es schließlich Backups.
Die sollten dann natürlich nicht verschlüsselt sein, aber am besten in Fort Nox deponiert und so eingerichtet sein, das ein unberechtigter Zugriff die Datenträger zerstört. Sonst lohnt sich die Verschlüsselung auch nicht mehr.
soul_rebel
ist immer auf der flucht
Es kommt ja noch schlimmer. Oft ist sogar von Privatsphäre die Rede, wenn es eigentlich um Geldvermehrung geht (siehe FDP <-> Datenschutz)
Hm, wieso "gegen"? Verschlüsselung bringt doch sowohl security als auch safety, oder wie verwendest du die Begriffe?
bsdagent
Auch im #bsdforen.de Chat
Hi
Ich glaube, er meinte auf der einen seite, wenn jemand via Trojaner oder andere software zugriff auf das System hat und aktiv manipulieren kann.
Auf der zweite seite, wenn nur ein Teil verschlüsselt ist, bsp. nur /home aber /usr nicht, kann dadurch natürlich die Festplatte nachträglich bsp. auf /usr/bin/csup manipuliert werden und das programm csup durch ein schädlich ersetzt werden.
Bei erstens gehe ich von aktiver manipulation aus, bsp. durch schädliche e-mail, wo die software einschläust usw.
Bei zweitens von Festplattenklau für kurze zeit und nach manipulation wieder eingebaut wird.
Gruss
bsdagent
Ich glaube, er meinte auf der einen seite, wenn jemand via Trojaner oder andere software zugriff auf das System hat und aktiv manipulieren kann.
Auf der zweite seite, wenn nur ein Teil verschlüsselt ist, bsp. nur /home aber /usr nicht, kann dadurch natürlich die Festplatte nachträglich bsp. auf /usr/bin/csup manipuliert werden und das programm csup durch ein schädlich ersetzt werden.
Bei erstens gehe ich von aktiver manipulation aus, bsp. durch schädliche e-mail, wo die software einschläust usw.
Bei zweitens von Festplattenklau für kurze zeit und nach manipulation wieder eingebaut wird.
Gruss
bsdagent
Security ist die Sicherheit die du bekommst wenn du dein Auto abschließt. Safty ist die, die du beim Anschnallen bekommst.
Verschlüsselung verringert das Risiko unbefugten Zugriffs (security). Aber sie erhöht das Risiko eines Datenverlusts (safety).
soul_rebel
ist immer auf der flucht
Hm, dass es bei der momentan von mir verwendeten Software glaube ich eher unrealistisch.
Hm, da müssten die Jungs von der heimlichen Offline-Durchsuchung schon ziemlich gut sein:
in kürzester Zeit Festplatte raus, in eigenes System einbauen (FreeBSD gleicher Version natürlich), eine binary im unverschlüsselten Bereich ersetzen mit trojaner, Festplatte zurück und wieder raus.
Ist jedoch extra-schwierig bei Notebooks (meistens nicht zuhause) und Servern (meistens an-> muss man erst aus machen-> fällt auf).
Wenn man aber bedenkt, dass Datenverlust oft Folge von unbefuguten Zugriff ist, hängt es zusammenkamikaze schrieb:
Außerdem verstehe ich nicht wieso sich die safety verringert durch Verschlüsselung. Mir ist noch nie ein geli-container kaputt gegangen, bzw. ich dachte es, hatte aber bloß das Passwort vergessen
-> andererseits ist das ja vielleicht ein "Safety-Faktor"
bsdagent
Auch im #bsdforen.de Chat
Hi
Joar, dass stimmt. Wobei ich diesbezüglich noch einiege Tests machen werde, auch wenn das nicht alle Szenarien einschliess.
Generell sollte man sowieso eine Plaintext Platte notfalls irgendwo lagern, bsp. Bankschliessfach.
soul_rebel: Bei Festplattenklau oder was auch immer musst du vom nicht erwarteten Szenario ausgehen, ob die Akteure nun gut sind oder schlecht ist irrelevant. Das grösste Sicherheitsproblem ist das nicht einkalkulierte Szenario.
Gruss
bsdagent
Joar, dass stimmt. Wobei ich diesbezüglich noch einiege Tests machen werde, auch wenn das nicht alle Szenarien einschliess.
Generell sollte man sowieso eine Plaintext Platte notfalls irgendwo lagern, bsp. Bankschliessfach.
soul_rebel: Bei Festplattenklau oder was auch immer musst du vom nicht erwarteten Szenario ausgehen, ob die Akteure nun gut sind oder schlecht ist irrelevant. Das grösste Sicherheitsproblem ist das nicht einkalkulierte Szenario.
Gruss
bsdagent