Verschlüsselung von Dateisystemen, wie vorgehen

G

GunnarHRO

Guest
Hi

bin neu hier und über google in dieses Forum gekommen. Habe auch das Wiki gelesen und den GBDE Eintrag.

Was will ich?

Ich will eine WS aufsetzen mit

KDE, Firefox und OpenOffice.
Er hat Zugriff auf das Internet.
Dazu bekommt er noch einen DVD Brenner.
Er kann Dokumente drucken.

Auf den Rechner sollen Firmenunterlagen gespeichert werden. Bilanzen, Buchungsunterlagen usw. die entweder per DVD oder via Internet aus der Firma importiert werden. Teilweise sind das auch Scans in JPEG Format von sehr alten Unterlagen.

Ziel soll es sein den Inhalt der neuen WS derartig abzusichern das selbst ein erfahrener Computerhacker nur mit größerem Aufwand an meine sensiblen Daten gelangen kann. Das heisst der Aufwand soll abschrecken. Bin mir da aber sehr unsicher ob es sich lohnt. Nach Auskunft der Polizei (habe dort nachgefragt) "schaffen wir jedes Betriebssystem. Wenn nicht in 10 Minuten dann vielleicht in 5 oder 10 Stunden. Geht nich gibs nich! Vor uns kann niemand was verstecken.":grumble:

Na ich denke was die können kann auch jedes gewiefte Scriptkiddy.:confused:

1. Reicht GBDE zum absichern?
2. In welcher Reihenfolge installiere ich jetzt was? Bisher habe ich FreeBSD 5.4 mit KDE installiert. Läuft auch. Mehr habe ich nicht installiert, weil mir jetzt die Reihenfolge unklar ist.

Wäre nett wenn mal jemand kurz was dazu schreiben könnte.

Gunnar
 
Hast du schon eine rudimentäre Gefahrenanalyse gemacht?

Woher siehst die Bedrohung kommen, gegen wen oder was willst du die Daten schützen?
Was ist deiner Meinung nach die wahrscheinlichste Bedrohungsform?
Was ist deiner Meinung nach die gefährlichste Bedrohungsform?

Vielleicht wäre es deinem Fall besser die Daten auf einer externen Platte zu speichern
und die Platte nach Gebrauch in einem Panzerschrank zu lagern.
 
Also ich für meinen Teil hab eine eigene Partition gemacht, wo ich alle sensiblen Daten draufspeichere. Nach dem Erstellen der Partition hab ich dann diese mit GBDE verschlüsselt (wie im Handbuch beschrieben). Ist ganz einfach und keine große Sache, ich glaube aber im Forum von einem andren Verschlüsselungsverfahren gelesen zu haben, welches schneller ist als GBDE.
Ach und ich glaube nicht, dass die bei der Polizei einen 2048 bit Schlüssel in 10 Stunden knacken!!!
 
Denke ich auch nicht. Wenn sie behaupten Sie kancken jedes System, dann ist das schlicht gelogen.
 
wenn du ein wenig zeit hast um auf deine sensiblen daten zuzugreifen, dann kann ich dir mein kleines daes-toolchen empfehlen:

http://www.dettus.net/daes

ist zwar (mehr oder weniger) mokelig weil du den schluessel auch irgendwo als datei abspeichern musst, aber ich benutze es fuer meine backups.
ansonsten nehme ich (unter openbsd) vnconfig -k (... oder -c... ich weiss nicht mehr so genau ;-) )
 
Hi,

ich kann zwar nichts zur Lösung beitragen, weil ich davon keine Ahnung habe, muss mich aber trotzdem zu Wort melden.

Also das die jedes Betriebssystem knacken glaub ich denen fast. Wenn die Daten aber mit einem anerkannt sicheren Algorithmus verschlüsselt sind, haben sie keine Chance, mal abgesehen von Implementierungsfehlern o. das die irgenwo den Schlüssel im System finden bzw. die Passphrase ermitteln können, wobei diese dann die Bezeichnung nicht mehr verdient.

So ganz sehe ich den Sinn aber auch bei der Verschlüsselung von Partitionen nicht. Bei mobilen Datenspeichern, dazu zähle ich jetzt mal auch Notebooks, ist es logisch.
Bei einer WS sehe ich nur den Fall des Diebstahls, wo mir die Verschlüsselung etwas bringt. Aber nicht bei der normalen Arbeit, es sei denn, man hängt die verschlüsselten Daten nur ein, wenn keine Netzverbindung besteht. Selbst das ist nicht ganz sicher.

So, das waren meine 50ct. dazu.

Gruß c.
 
Das Problem ist, dass die Polizei gbde/geli nicht kennt. Ich schätze mal, dass sie noch nicht mal von FreeBSD gehört haben.

Ich darf hier mal einen Karstadt-Verkäufer zitieren:
Häää?
Zum Vergrößern anklicken....

Zum Knacken von AES gibt es noch keine Ansätze, so wie ich das verstanden habe. Vielleicht können sie Dich aber so lange kitzeln bis Du den Schlüssel freiwillig herausrückst.
 
lars schrieb:
Hast du schon eine rudimentäre Gefahrenanalyse gemacht?

Woher siehst die Bedrohung kommen, gegen wen oder was willst du die Daten schützen?
Was ist deiner Meinung nach die wahrscheinlichste Bedrohungsform?
Was ist deiner Meinung nach die gefährlichste Bedrohungsform?

Vielleicht wäre es deinem Fall besser die Daten auf einer externen Platte zu speichern
und die Platte nach Gebrauch in einem Panzerschrank zu lagern.
Zum Vergrößern anklicken....

@Lars
Bei mir geht es immer nur um Diebstahl/Einbruch. Ich bin bereits 2x ausgeräumt worden. Meine Firma in der Innenstadt noch nie, aber es ist mir am Wochenende zu mühsam dort hin zu fahren um am Computer zu arbeiten. Deswegen habe ich zu Hause einen PC, der bisher mit Win2000 ausgestattet war. Ich habe auch einen kleinen Safe hier zu Hause, aber der wurde bereits einmal aus der Wand gestemmpt. Ist nur ein kleiner. Grundsätzlich geht es mir auch nur darum meine Arbeit so zu sichern das nicht jeder der die gestohlene Festplatte kauft, die darauf enthaltenen Daten einsehen kann.

martin schrieb:
Also ich für meinen Teil hab eine eigene Partition gemacht, wo ich alle sensiblen Daten draufspeichere. Nach dem Erstellen der Partition hab ich dann diese mit GBDE verschlüsselt (wie im Handbuch beschrieben).
Zum Vergrößern anklicken....

@Martin

Auf dieser Partition sind nur echte Daten, also keine Programme?

Du hast dies hier abgearbeitet:
http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/disks-encrypting.html

Nur GBDE oder auch geli?


[LoN]Kamikaze schrieb:
Denke ich auch nicht. Wenn sie behaupten Sie kancken jedes System, dann ist das schlicht gelogen.
Zum Vergrößern anklicken....

Nach dem letzten Einbruch hatte ich einen Kriminaler am Telefon der sich mit dem Knacken von PC beschäftigt. Jedenfalls tat er so. Er meinte die meisten PC die bei ihm landen seien ohnehin Windows Rechner. Leider war er nicht bereit mir die Frage zu beantworten was eine sichere Methode ist. Er meinte er würde mich nicht kennen und vielleicht sei ich ja bereits bald Kunde.
 
das lka/bka hat natürlich spezialisten und möglichkeiten. das grosstadtrevier mit sicherheit nicht.
ist hier irgendjemandem bekannt, dass gbde/geli geknackt worden ist?! wahrscheinlich nicht. wahrscheinlich ist es irgendwie möglich. aber wahrscheinlich ist auch, dass die geklauten daten nicht in hände geraten, die sich sich so sehr damit auskennen und vor allem die enorme zeit aufbringen können/wollen. und die spezialisten beim vater staat müssten extrem grosses interesse genau an deinen daten haben um sich die mühe zu machen - oder besser gesagt es zu versuchen.

und das da:
Nach Auskunft der Polizei (habe dort nachgefragt) "schaffen wir jedes Betriebssystem. Wenn nicht in 10 Minuten dann vielleicht in 5 oder 10 Stunden. Geht nich gibs nich!
Zum Vergrößern anklicken....
halte ich für ein ganz grosses gerücht :) die brauchen 10 stunden um das ding in ein labor zu bringen und noch mal 10 stunden um den meister ranzuschaffen. der wiederum hat mit sicherheit kein handbuch "wie cracke ich gbde in 12 stunden".. :)
 
Um noch etwas zum Thema beizutragen:

Ich nutze unter Linux eine mit cryptsetup-luks verschlüsselte /home Partition.
(Eine entsprechende Anleitung gibt es auf meiner Homepage.)

Unter NetBSD werde ich mich demnächst um die Verschlüsselung mit cdg der /home Partition und einer Partition auf einer USB-HDD widmen. (Anleitung)
Desweiteren habe ich vor eine deutsche Anleitung zu schreiben.
 
@GunnarHRO

Alles klar, dann können wir dir (vielleicht) auch passendere Antworten geben :-)

Stelle sicher, dass du Daten von Programmen trennst,
und dann nur die Daten verschlüsselst,
ob GBDE oder GELI sollte eigentlich egal sein, wenn du den Schlüssel nicht
unter der Mausmatte versteckt hast.

Vielleicht reicht auch gnupg, ist sicher portabler.

Auf der EuroBSDCon gab es einen interesanten Vortrag von Marc Schiesser:
http://events.ccc.de/congress/2005/fahrplan/attachments/586-paper_Complete_Hard_Disk_Encryption.pdf
 
Ich habe auch einen kleinen Safe hier zu Hause, aber der wurde bereits einmal aus der Wand gestemmpt.
Zum Vergrößern anklicken....
deine firma muss ja echt wichtig sein...
also ne "totsichere" sache:
mit GELI die komplette festplatte verschlüsseln, mit blowfish und 480bit keylänge, den boot ordner auf einen usbstick, und auf einen zweiten usbstick machst du 10.000 20KB große dateien mit zufallsinhalt, von denen du ein paar als deine keys für die festplatte verwendest. außerdem machst du noch ein passwort drauf dass 20 zeichen hat.
die beiden usb-sticks musst du immer mit dir rumtragen und wenn dir was verdächtigt vorkommt aufessen.
na ok letzteres vielleicht nicht, aber du weißt was ich meine, oder?

p.s.: du könntest du zweiten usb-stick auch verschlüsseln mit einem key der wiedrum auf dem ersten drauf ist...
p.p.s: ich hoffe die usb-sticks gehen dir nciht kaputt sonst hat deine firma ein problem...
 
bisher sind wir hier davon ausgegangen, dass der Rechner lokal ist und daher die Keys auf einem USB-Stick abgelegt werden können. Was machen wir denn, wenn einen remote Server absichern wollen?
 
heesen schrieb:
bisher sind wir hier davon ausgegangen, dass der Rechner lokal ist und daher die Keys auf einem USB-Stick abgelegt werden können. Was machen wir denn, wenn einen remote Server absichern wollen?
Zum Vergrößern anklicken....

Bei geli gibt es die Möglichkeit, den Key aus dem Passwort zu generieren oder aus einer Datei mit Zufallsbits (siehe: geli(8)).
 
Der Spruch der Polizei hat mir gefallen! ;)

Wird wohl ein übereifriger Beamter gewesen sein, ein Experte bei denen würd wohl nicht so groß daherreden bevor er nicht gewußt hätte um was es genau geht.

Solang der Algorithmus keine uns unbekannte Backdoor hat und dein Passwort ala "0815:TjaIhrPolizeiBübchen!DahabtIhrzuKAUEN!LOL" beschaffen ist, seh ich kein Problem.

PS: schade dass es TrueCrypt nicht für BSD gibt!
 
Mh!
Ist es nicht so wenn jemand in der Firma zugriff auf die Daten hatt er diese auch Kopieren kann oder über das Internet verschiken.
Ich bin der Überzeugung das 90 % aller Datendiebstahl Aktionen von Intern kommen und von Mitarbeitern ausgeführt werden.
 
Falls sich jemand fragt, warum es hier so riecht, das ist das Topic.
Das ist nicht mehr ganz frisch.
 
Zuletzt bearbeitet:
Es wur im Portal angezeigt :(
Naja, jedenfalls interessiert mich das Thema auch gerade.
Gibt es irgendetwas, das möglichst auf jeden BSD und vielleicht auch Unix läuft?
 
Athaba schrieb:
Gibt es irgendetwas, das möglichst auf jeden BSD und vielleicht auch Unix läuft?
Zum Vergrößern anklicken....
ein ext2 dateisystem in einer datei anlegen und die mit gpg verschlüsseln.
das ding musst du dann halt immer entpacken und nachdem dem nutzen wieder verpacken (was bei großen dateimengen SEHR lange dauern wird).
auf treiberschicht gibt es imo keine verschlüsselung die auch nur von mehr als einem bsd und/oder linux unterstützt wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben