nevixpain
war-walker
Das ist wirklich superschade,
ich überlege immernoch ob ich nicht deshalb doch Linux nehmen soll,
weil ich habe oft mit TC Containern zu tun.
Das ist wirklich superschade,
ich überlege immernoch ob ich nicht deshalb doch Linux nehmen soll,
weil ich habe oft mit TC Containern zu tun.
xGhost
OpenBSD Freack
Hast du so wichtige daten das du auf Linux zurueck greifen wuerdest?
Ich vertraue meine Daten BSD an weil ich glaube das sie dort sicher sind.
Und wenn die Polizei kommt dann bitte schoen. Aber ich glaube
die sind alleine schon wegen dem FreeBSD oder OpenBSD restlos uebervordert
das ich es gar nicht mehr verschluesseln muss.
Du kannst die Partition auch einfach gar nicht einbinden (mounten).
Die varscheindlichkeit das sie merken das da 5gb fehlen und dann
wisse wie man die findet ist wohl gering.
Gg
Das glaube ich weniger...
Klar der Standardpolizist wird es vielleicht nicht wissen (auf der anderen Seite: Warum sollte ein Polizist kein Linux/Unix verwenden?)
Ich glaube kaum, dass es in DE keine Abteilungen für soetwas gibt. Über die Abteilungen in Österreich weiß ich sogar einiges. Dort werden auch gelöschte und sogar mehrfach überschriebene Daten wieder hergestellt - und das nicht nur bei Schwerstverbrechen. Deshalb sollte man jedenfalls sensible Daten mit srm löschen bzw. mit gpg, mcrypt oder sonst was verschlüsseln. Es müssen ja nicht immer ganze Partitionen sein.
@soul_rebel: In meinem Fall hätte das zu viele Umstände gemacht. Habe das Problem nun anders gelöst. Danke!
SierraX
Well-Known Member
eigentlich ist doch cfs nichts anderes als ein wachsender Container, der via Null device in das laufende system eingebunden wird. Sollte also auch für externe Platten funktionieren auch unter OpenBSD und FreeBSD sogar noch besser als unter Net, da man dort die Bindings anders Porten kann.
soul_rebel
ist immer auf der flucht
ich habe das problem mit den unterschiedlichen betriebsystemen und verschlüsselung einfach so gelöst, dass ich alles auf den server (freebsd natürlich) ausgelagert habe der das ganze dann per nfs an linux und freebsd verteilt.
wenn mal jemand mit ner windowskiste da ist, kann der per read-only ftp drauf.
@xGhost:
ich wäre da auch ein bisschen vorsichtiger mit den vermutungen. die setzen wohl kaum einen dorfbullen vor dein pc um mal zu gucken was da drauf ist.
wir leben im zeitalter des großenlauschangriffs, die haben experten für sowas und sie haben (wenn du es ihnen wert bist) verdammt viel rechenpower in der hand.
verschlüsselung ist auch nur in soweit sicher als, dass man hofft dass die zeit in der sie deine sachen ohne beweise behalten können zu gering ist um beweise zu finden (die verschlüsselung zu knacken).
wenns wichtig ist sollte man das system auch so einrichten, dass im unverschlüsselten teil keine hinweise auf verschlüsselung hinterlässt (keine rc.conf einträge für geli
).
dann kriegt man seine sachen vielleicht schneller wieder, denn schließlich können sie nicht widerlegen, dass man einfach 300gb an zufallszahlen sammelt.
wenn mal jemand mit ner windowskiste da ist, kann der per read-only ftp drauf.
@xGhost:
ich wäre da auch ein bisschen vorsichtiger mit den vermutungen. die setzen wohl kaum einen dorfbullen vor dein pc um mal zu gucken was da drauf ist.
wir leben im zeitalter des großenlauschangriffs, die haben experten für sowas und sie haben (wenn du es ihnen wert bist) verdammt viel rechenpower in der hand.
verschlüsselung ist auch nur in soweit sicher als, dass man hofft dass die zeit in der sie deine sachen ohne beweise behalten können zu gering ist um beweise zu finden (die verschlüsselung zu knacken).
wenns wichtig ist sollte man das system auch so einrichten, dass im unverschlüsselten teil keine hinweise auf verschlüsselung hinterlässt (keine rc.conf einträge für geli
).dann kriegt man seine sachen vielleicht schneller wieder, denn schließlich können sie nicht widerlegen, dass man einfach 300gb an zufallszahlen sammelt.
xGhost
OpenBSD Freack
Gut war vl. etwas zu voreilig.
Aber aus meiner Familie Arbeitet jemand bei der Polizei (Schweiz),
und daher kenne ich amüsante Geschichten ^^
Ich stelle mir aber immer die frage ob sich der aufwand lohnt.
Vor der Polizei hab ich keine geheimnise. Gut ich rauche ab und zu einen J*** und
dazu stehe ich. Aber auf dem PC hab ich nix vor dem ich angst haben muesste.
Der einzige grund welche mich veranlasst solche gedanken zu haben sind dritte
welche unerlaubt daten klau machen.
Gg
Aber aus meiner Familie Arbeitet jemand bei der Polizei (Schweiz),
und daher kenne ich amüsante Geschichten ^^
Ich stelle mir aber immer die frage ob sich der aufwand lohnt.
Vor der Polizei hab ich keine geheimnise. Gut ich rauche ab und zu einen J*** und
dazu stehe ich. Aber auf dem PC hab ich nix vor dem ich angst haben muesste.
Der einzige grund welche mich veranlasst solche gedanken zu haben sind dritte
welche unerlaubt daten klau machen.
Gg
Eigentlich geht es ja nicht direkt um die Polizei. Ich denke, es geht nicht unbedingt um die Polizei (bei richterlicher Anordnung ist das Kettenglied Mensch meist schnell gebrochen). Es geht eher/unter anderem um Leute, die das Knowhow für "böse Dinge" einsetzen. Dazu könnte durchaus ein Polizist zählen. Wenn dich zum Beispiel ein Polizist (ohne, das du irgendetwas getan hast - nur auf Verdacht (bei Gefahr in Verzug und wer weiß, wie wenig in Zukunft nötig sein wird oder ob man überhaupt noch nen Richter braucht)) um dein Speichermedium erleichtert, dann hast du mit Kryptographie zumindest zusätzliche Schichten und kannst dir etwas sicherer sein, dass die nicht Jeder in die Hand bekommt.
Noch unsicherer sind da Notebooks, die man überall herumschleppt. Aber ich selbst würde da sowieso keine sensiblen Daten drauf haben. Natürlich wäre es auch sinnvoll (nichtcomputer)Daten garnicht zu speichern, aber das brauch ich ja wohl keinem sagen.
@soul_rebel: Also das versteh ich nicht. Wenn sie mit FTP zugänglich sind, warum dann verschlüssen? Oder ist das ein ganz spezieller Fall?
Noch unsicherer sind da Notebooks, die man überall herumschleppt. Aber ich selbst würde da sowieso keine sensiblen Daten drauf haben. Natürlich wäre es auch sinnvoll (nichtcomputer)Daten garnicht zu speichern, aber das brauch ich ja wohl keinem sagen.
@soul_rebel: Also das versteh ich nicht. Wenn sie mit FTP zugänglich sind, warum dann verschlüssen? Oder ist das ein ganz spezieller Fall?
FierceOne
Kampfmaschine
Was man auch nicht vergessen sollte /var/db. Ich meine nicht komplett verschl"usseln aber auf jeden Fall nach Dingen suchen die Aufschluss auf den Platteninhalt geben. Z.B. die locate Datenbank. Wird gerne vergessen. /tmp w"urde ich, auf eine RAM-Disk machen. Da landen vielleicht thumbs oder tempor"ares von KDE und Co. Wenn dann der Stecker gezogen ist, und der Schl"ussel in Sicherheit isses vorbei...
Das ist (leider) ein ziemlicher Trugschluss!
(Pseudo-)Zufallswerte haben eine Entropie von (nahezu) 1, deine verschlüsselten Daten definitiv nicht...Bullen sind ja nunmal nicht dumm - die werden das merken. Und ausserdem nehmen die ja auch nicht wahllos irgendwelche Datenträger mit, sondern haben in so einem Fall ja sowieso schon einen Anfangsverdacht, der deine "Zufallszahlen" IMHO ziemlich alt aussehen lassen wird!
nevixpain
war-walker
Ich wollte Linux nehmen, um unter einem unixoiden System mit unter Windows erstellten TrueCrypt Containern zu arbeiten.
Deshalb, nicht Linux des Linux wegen, sondern weils - im Gegensatz zu *BSD - eben TC "kann".
soul_rebel
ist immer auf der flucht
na verschlüsselung dient doch der sicherung im aus-zustand (ans kabelnetz kommen ja nur vertrauenswürdige ran).athaba schrieb:
wenn die polizei klopft fährt man den server ja sowieso runter oder zieht den stecker. dass sie die tür eintreten und sich die mühe machen den server wegzutragen, während er an ist, dafür bin ich noch nicht beliebt genug
und dann müssten sie immernoch in das system reinkommen. ach ja und die firewall merkt sowas ja auch.@free:
wieso ist das ein trugschluss? dann sammel ich halt weniger zufällige zufallszahlen. könnte mir ja auch genau diese reihenfolge gemerkt haben und draufgeschrieben, ist ja nicht verboten.
und selbst wenn sie irgendwie zu dem schluss kömmen, da müssten daten sein, sage ich einfach, das ist eine alte partition bei der ich leider das passwort vergessen habe, aber sie aufbewahre, weil ich hoffe, dass es mir irgendwann wieder einfällt.
das gegenteil können sie dir doch garnicht beweisen.
und was den anfangsverdacht angeht: ich habe ja ein tor-exit-node am laufen, also war ichs nicht.
@fierceone: also tmp kann man auch auf eine onetime verschlüsselte platte packen, /var/log/* auch. was locate angeht... legt das von alleine ne datebank an?
FierceOne
Kampfmaschine
Hallo,
Stimmt an onetime habe ich jetzt nicht gedacht. Obwohl ich meinen swap onetime verschl"usselt habe.
naja man wird "alter...hmm was locate angeht weis ich gar nicht ob es standard ist. mein system hier ist schon ewig alt und ich weis nicht ob ich da mal was dran geschraubt habe. aber bei mir gibt es:
Code:
<ben@speedy ~/Diplomarbeit/Arbeit> ls /etc/periodic/weekly/310.locate
/etc/periodic/weekly/310.locate
<ben@speedy ~/Diplomarbeit/Arbeit> ls /var/db/locate.database
/var/db/locate.databaseErsteres legt Zweiteres an
. Ich meine auch das das ab Werk so ist. Also 1x die Woche wird neu gebaut.
xGhost
OpenBSD Freack
stimmt, im zweifel fuer den angeklagten.
Wow!na verschlüsselung dient doch der sicherung im aus-zustand (ans kabelnetz kommen ja nur vertrauenswürdige ran).
wenn die polizei klopft fährt man den server ja sowieso runter oder zieht den stecker. dass sie die tür eintreten und sich die mühe machen den server wegzutragen, während er an ist, dafür bin ich noch nicht beliebt genug
Du würdest im Ernstfall der Polizei die Daten vollkommen verweigern?
Naja, wenigsten verstehe ich jetzt den Verwendungszweck.
FierceOne
Kampfmaschine
Was bitte ist denn sonst der Verwendungszweck von Verschl"usselung?
Vor wem man Daten zur"uckhalten will ist da zweitrangig. Du hast ein Recht auf Privatsph"are. Das zu sch"utzen obliegt Dir. Auch vor der Polizei. Geht die doch nix an was ich auf meiner Platte habe.
Interessanter Punkt, den ich nicht völlig von der Hand weisen kann...trotzdem werden sie probieren, mit der Gummischlauch-Kryptoanalyse weiterzukommen, wobei der Staat als Angreifer sich eher der Zwangshaft bedienen wird (Hier immer den ohnehin vorhandenen Anfangsverdacht im Hinterkopf behalten!).
D.h. IMHO, wenn du die sechs Monate Haft überstehst ohne "kompromitiert" zu werden, bist du raus aus der Sache...viel Spass für den Ernstfall!
Hehe, da stimm ich dir mal grundsätzlich zu.
Nur, stellt sich ein bisschen Später die Frage, ob dich der gegnerische Anwalt bzw. das Nichtwissen der Zeugen, etc. unter Androhung von höheren Strafen nicht doch "überreden"
Mit Verwendungszweck meine ich eher die Tatsache, dass ich selbst Daten habe, die nicht zum Teilen vorgesehen waren und man mit FTP ja alles wieder zerstören will.
Hab nicht weiter gedacht sorry. Ich hätte auch Daten, die ich über Tor/HiddenService wohl früher oder später publik machen werde.
Zum Thema Auszustand: Ich habe da auch an den Anzustand gedacht, da ich die Partition nicht immer gemountet haben will. Ne Partition sollte es sein, weil ich die ohne das restliche OS mounten wollte.
Habe ich etwas vergessen?
Athaba, mal von seinem Fall ausgegangen ist
beelzebub
CUPS-Geplagter
Gilt allerdings nicht wenn man angeklagt ist. Als Angeklagter hat man Zeugnisverweigerungsrecht. Wir leben ja nicht in einer Diktatur. Noch nicht.
SierraX
Well-Known Member
Und Reden ist Knast
Sehr sehenswert zu diesme Thema ist eine Beitrag der 23C3 in Berlin:
"Sie haben das Recht zu Schweigen"
http://ftp.stw-bonn.de/pub/23C3/video/23C3-1346-de-sie_haben_das_recht_zu_schweigen.m4v
"Sie haben das Recht zu Schweigen"
http://ftp.stw-bonn.de/pub/23C3/video/23C3-1346-de-sie_haben_das_recht_zu_schweigen.m4v
Wie viel Prozessorleistung und welche Hardware brauche ich, um ein mit Geli verschlüsseltes Raid mit akzeptabler Geschwindigkeit (50-100 MB/s) zu kopieren?
Vias C3 mit Padlock wird wohl seit FreeBSD 6.2 anständig unterstützt.
(http://www.freebsd.org/releases/6.2R/relnotes-i386.html#PROC)
Via schreibt, der Verschlüsselungsdurchsatz liegt bei 12 Gbit/s. (http://de.viatech.com/de/products/processors/c3/)
Diese Lösung wäre zwar recht preiswert, doch leider fehlen diesen Mini-Boards 64bit PCI Slots für die notwendigen SCSI Controller.
Eine Sun UltraSPARC T2 schafft angeblich 2x10Gbit/s (http://www.tecchannel.de/news/themen/technologie/450388/index2.html)!
Was kostet so eine Maschine eigentlich? Kriegt das vielleicht schon eine ältere Sun Kiste hin? Oder etwas ganz anderes?
Wieviel Durchsatz schaffen die Kryptokarten von Soekris oder Broadcom?
Hat hier jemand Erfahrung damit?
Vias C3 mit Padlock wird wohl seit FreeBSD 6.2 anständig unterstützt.
(http://www.freebsd.org/releases/6.2R/relnotes-i386.html#PROC)
Via schreibt, der Verschlüsselungsdurchsatz liegt bei 12 Gbit/s. (http://de.viatech.com/de/products/processors/c3/)
Diese Lösung wäre zwar recht preiswert, doch leider fehlen diesen Mini-Boards 64bit PCI Slots für die notwendigen SCSI Controller.
Eine Sun UltraSPARC T2 schafft angeblich 2x10Gbit/s (http://www.tecchannel.de/news/themen/technologie/450388/index2.html)!
Was kostet so eine Maschine eigentlich? Kriegt das vielleicht schon eine ältere Sun Kiste hin? Oder etwas ganz anderes?
Wieviel Durchsatz schaffen die Kryptokarten von Soekris oder Broadcom?
Hat hier jemand Erfahrung damit?
soul_rebel
ist immer auf der flucht
kann ich nur bestätigen! läuft super!
habe bis jetz noch ne den prozessor damit belästigen müssen, weil der chip alles übernimmt.
andererseits ist bei mir sowieso das 100mbit-lankabel der limitierende faktor denke ich...
Hi soul_rebel,
Padlock schafft also die 100Mbit zu "füllen". Hast Du es mal von Platte zu Platte gemessen? Ich suche eine Möglichkeit, ein DiskArray auf ein anderes so schnell zu backupen, wie es geht. Natürlich alles mit Geli. Was nützt mir U160 SCSI, wenn ich wegen Geli nur 10MB/s durch tröpfeln sehe.
RobJ
Padlock schafft also die 100Mbit zu "füllen". Hast Du es mal von Platte zu Platte gemessen? Ich suche eine Möglichkeit, ein DiskArray auf ein anderes so schnell zu backupen, wie es geht. Natürlich alles mit Geli. Was nützt mir U160 SCSI, wenn ich wegen Geli nur 10MB/s durch tröpfeln sehe.
RobJ
crotchmaster
happy BSD user
Hier findest du ein paar Listenpreise. http://shop.sun.com/is-bin/INTERSHOP.enfinity/WFS/Sun_NorthAmerica-Sun_Store_US-Site/en_US/-/USD/ViewStandardCatalog-Browse?CategoryName=Sun_Fire_T2000_Se_1&CategoryDomainName=Sun_NorthAmerica-Sun_Store_US-SunCatalogRobJ schrieb:
Sicher muss man nicht die Listenpreise zahlen, aber es ist dann immer noch teuer genug.
Ich denke mit älteren SUNs kommt du da nicht sehr weit, es sei denn, du hast eine Maschine mit mehreren USIII CPUs.
Gruß c.
PS: habe gerade gesehen, das ich da die T2000 Server mit der UltraSPARC T2 verwechselt habe. Aber ich kann mir nicht vorstellen, das Maschinen mit der CPU wirklich billiger sind.