BOFH sagt
"Unoptimized hard drive"
Getaggte Artikel
article blackberry blogging blogtk cisco cms coding crunchix crypto database debian del.icio.us encfs firewall freebsd fun google ha hacking hacks honeypot insipid jabber lighttpd linux mail md5 ml370 moblogging network nmap openbsd openvz personal phrack plone portknocking privacy python rant review rootforum security serendipity server spam ssh thinkpad tool tor tutorial ubuntu uni vm vserver wifi wiki work xen zimbra
Blogroll
Rechtliches
Thursday, 25. May 2006
[Howto] Verschlüsselung des kompletten Systems unter Ubuntu Dapper
Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.
Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.
Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.
Da auch das geklärt ist, kann's ja nun losgehen:
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.
Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.
Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.
Da auch das geklärt ist, kann's ja nun losgehen:
Die folgenden Schritte habe ich so allesamt auf meinem ThinkPad T30 durchgeführt, das mit einer 40 GB-Festplatte (Samsung MP0402H) ausgestattet ist. Das hier aufgeführte Partitionierungsschema wird der geneigte Leser im Zweifelsfall natürlich seinen persönlichen Wünschen entsprechend anpassen können.
Falls noch nicht geschehen, ist zunächst eine Ubuntu Dapper Installations-CD zu besorgen. Zu finden z.B. hier.
Ist diese gebrannt, wird von ihr gebootet, und die Installation als Server gestartet, da im ersten Schritt nur ein kleines Hilfssystem installiert wird, von dem aus die eigentliche "Installation" durchgeführt wird. Denkbar wäre hier aber auch, einfach den späteren Swapspace für das Grundsystem zu nutzen, aus verschiedenen Gründen halte ich es aber für sinnvoller, ein kleines Rettungssystem auf der Platte zu behalten.
Besondere Beachtung verdient dabei natürlich die Partitionierung:
Hier bringen wir das System mit den bekannten Bordmitteln auf den aktuellen Stand, und installieren danach noch die Pakete cryptsetup und initramfs-tools. Wer's braucht, installiert nun noch ein paar andere Tools, die ihr / ihm lieb und wichtig sind, vergisst dabei aber bitte nicht, dass der Platz nur recht beschränkt ist.
Wer paranoid genug ist, und bereits Daten auf der Platte hatte, jagt nun noch einmal shred über /dev/hda3 und /dev/hda5 um "sicher"zustellen, dass keinerlei Rückschlüsse mehr darauf gezogen werden können.
Die Vorbereitungen sind damit abgeschlossen, wir können uns nun daran begeben, die Partitionen für das eigentliche spätere System zu verschlüsseln. Der Algorithmus der Wahl ist hierbei AES mit einer Schlüssellänge von 256 Bit, sowie SHA256-Hashes. Andere Algorithmen sind denkbar, jedoch für den weiteren Verlauf (noch) nicht ganz unproblematisch:
Analog dazu verfährt man nun mit dem späteren Bereich für /home. Auf beiden Partitionen hat man nun die nötigen LUKS-Header geschrieben, was sie aber für sich allein genommen im System noch nicht "sichtbar" macht. Dies erledigt man erst durch
Zur späteren Verwendung im "Rescuesystem" ist nun noch die Datei /etc/crypttab anzupassen:
Wir legen nun Mountpunkte an, damit die eben angelegten Filesystem auch einen Sinn bekommen:
Wir laden uns nun ein (noch (?)) inoffizielles Paket herunter, das uns ermöglicht, ein verschlüsseltes /-Filesystem zu starten, und installieren es direkt:
Zunächst ist die Datei /mnt/root/etc/fstab anzupassen, die auf das spätere System zugeschnitten sein sollte, und z.B. so aussehen könnte:
Um die nötigen Änderungen an der initrd vornehmen zu lassen, müssen wir zu guter Letzt noch das Kommando "update-initramfs -v -u ALL" aufrufen, das erfolgreich beendet werden sollte.
Prinzipiell ist unser verschlüsseltes System nun fertig. Wer jedoch keine Lust hat, beim Systemstart gleich zwei Passphrasen eingeben zu müssen (1x /, 1x /home), hinterlegt der Einfachheit halber ein entsprechendes Keyfile auf dem (ohnehin verschlüsselten (späteren)) /:
Sollte alles fehlschlagen, hat man immerhin noch ein Rettungssystem zur Hand, mit dessen Hilfe man die Prozedur doch noch einmal von vorn beginnen kann.
Über Feedback zum ganzen würde ich mich in diesem Fall sehr freuen.
Falls noch nicht geschehen, ist zunächst eine Ubuntu Dapper Installations-CD zu besorgen. Zu finden z.B. hier.
Ist diese gebrannt, wird von ihr gebootet, und die Installation als Server gestartet, da im ersten Schritt nur ein kleines Hilfssystem installiert wird, von dem aus die eigentliche "Installation" durchgeführt wird. Denkbar wäre hier aber auch, einfach den späteren Swapspace für das Grundsystem zu nutzen, aus verschiedenen Gründen halte ich es aber für sinnvoller, ein kleines Rettungssystem auf der Platte zu behalten.
Besondere Beachtung verdient dabei natürlich die Partitionierung:
- /dev/hda1: /boot mit rund 90 MB
- /dev/hda2: Anlegen mit 2 GB (da 1 GB RAM im gerät stecken). Wird später der Swapspace
- /dev/hda3: Anlegen mit ca. 6 GB, aber als "Nicht benutzen" markieren. Wird das spätere /-Filesystem
- /dev/hda5: / mit rund 800 MB
- /dev/hda6: Anlegen über die restliche Kapazität der Platte, aber auch nichts weiter. Wird später /home.
Hier bringen wir das System mit den bekannten Bordmitteln auf den aktuellen Stand, und installieren danach noch die Pakete cryptsetup und initramfs-tools. Wer's braucht, installiert nun noch ein paar andere Tools, die ihr / ihm lieb und wichtig sind, vergisst dabei aber bitte nicht, dass der Platz nur recht beschränkt ist.
Wer paranoid genug ist, und bereits Daten auf der Platte hatte, jagt nun noch einmal shred über /dev/hda3 und /dev/hda5 um "sicher"zustellen, dass keinerlei Rückschlüsse mehr darauf gezogen werden können.
Die Vorbereitungen sind damit abgeschlossen, wir können uns nun daran begeben, die Partitionen für das eigentliche spätere System zu verschlüsseln. Der Algorithmus der Wahl ist hierbei AES mit einer Schlüssellänge von 256 Bit, sowie SHA256-Hashes. Andere Algorithmen sind denkbar, jedoch für den weiteren Verlauf (noch) nicht ganz unproblematisch:
cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hda3Die folgende Rückfrage muss mit "YES" bestätigt werden, woraufhin eine zweimalige Nachfrage nach einer Passphrase erscheint. Zu bedenken dabei ist jedoch, dass beim booten (bei der hier vorgestellten Vorgehensweise noch kein duetscher "Tastaturtreiber" geladen ist, und allzu exotische zeichen unter Umständen nur schwer erreichbar sind. Wie es anders geht, beschreibt der o.g. Sternensucher.
Analog dazu verfährt man nun mit dem späteren Bereich für /home. Auf beiden Partitionen hat man nun die nötigen LUKS-Header geschrieben, was sie aber für sich allein genommen im System noch nicht "sichtbar" macht. Dies erledigt man erst durch
cryptsetup luksOpen /dev/hda3 rootErst hierdurch werden die Partionen dem Device-Mapper unterstellt, woraufhin nun auf beiden das Filesystem der Wahl angelegt werden kann.
und
cryptsetup luksOpen /dev/hda6 home
Zur späteren Verwendung im "Rescuesystem" ist nun noch die Datei /etc/crypttab anzupassen:
root /dev/hda3 none luks,retry=2,cipher=aes-cbc-essiv:sha256Hintergrundinformationen finden sich unter "man 5 crypttab".
home /dev/hda6 none luks,retry=2,cipher=aes-cbc-essiv:sha256
swap /dev/hda2 /dev/random swap
Wir legen nun Mountpunkte an, damit die eben angelegten Filesystem auch einen Sinn bekommen:
mkdir /mnt/{root,home}und tragen die passenden Einträge in der /etc/fstab nach:
/dev/mapper/root /mnt/root ext3 defaults 0 2Mit Hilfe von "mount -a" sollten die beiden Filesysteme nun auch endlich im System auftauchen, was sich (z.B.) mit Hilfe von "df -m" herausfinden lässt. Wir prüfen nun noch, ob auch der Swapspace beim Systemstart (mit Hilfe eines zuflligen Schlüssels) verschlüsselt wird:
/dev/mapper/home /mnt/home ext3 defaults 0 2
/dev/mapper/swap swap swap 0 0
/etc/init.d/cryptdisks startHat alles geklappt, können wir nun den gesamten Inhalt unseres Rettungssystems in die Filesysteme des späteren System kopieren:
swapon -a
cp -avx / /mnt/root
cp -avx /home/* /mnt/home
Wir laden uns nun ein (noch (?)) inoffizielles Paket herunter, das uns ermöglicht, ein verschlüsseltes /-Filesystem zu starten, und installieren es direkt:
wget http://ner.dy.fi/deb/initramfs-cryptsetup_0.43_all.debNun beginnt der knifflige Teil der Geschichte:
dpkg -i initramfs-cryptsetup_0.43_all.deb
Zunächst ist die Datei /mnt/root/etc/fstab anzupassen, die auf das spätere System zugeschnitten sein sollte, und z.B. so aussehen könnte:
# /etc/fstab: static file system information.Um das spätere Rettungssystem auch sicher booten zu können, erstellen wir nun eine Kopie des aktuellen kernel-Images und der dazugehörenden "initialen Ramdisk", und benennen sie entsprechend. Daraufhin ist die Grub-Konfiguration dementsprechend anzupassen. Hierzu ist ganz unten (als noch unter der "DEBIAN AUTOMAGIC KERNELS LIST") ein Eintrag für das Rescuesystem zu machen. In meinem Fall sieht das so aus:
proc /proc proc defaults 0 0
/dev/hda1 /boot ext2 defaults 0 2
/dev/mapper/root / ext3 defaults 0 1
/dev/mapper/home /home ext3 defaults 0 2
/dev/mapper/swap swap swap sw 0 0
/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0
#/dev/hda5 /mnt ext3 noauto,defaults,errors=remount-ro 0 1
title RescueDie eigentlichen Änderungen werden nun innerhalb des o.g. Debian-spezifischen Bereichs durchgeführt. Wir suchen uns nun die Zeile, die die "kopt"-Direktive enthält (der # am Anfang der Zeile ist unter keinen Umständen zu entfernen), und ändern sie wie folgt:
root (hd0,0)
kernel /vmlinuz-rescue root=3,5 ro quiet
initrd /initrd.img-rescue
boot
# kopt=root=/dev/mapper/root cryptoroot=/dev/hda3 ro quietEin "update-grub" erstellt dann die passenden Einträge (die ich aber noch einmal durch löschen der ersten beiden "Rescue"-Einträge nachbearbeiten musste. Auf den schönen Splashscreen während des Bootens muss dann zwar verzichtet werden, aber was tut man nicht alles für wenigstens ein kleines bisschen Privatsphäre?
Um die nötigen Änderungen an der initrd vornehmen zu lassen, müssen wir zu guter Letzt noch das Kommando "update-initramfs -v -u ALL" aufrufen, das erfolgreich beendet werden sollte.
Prinzipiell ist unser verschlüsseltes System nun fertig. Wer jedoch keine Lust hat, beim Systemstart gleich zwei Passphrasen eingeben zu müssen (1x /, 1x /home), hinterlegt der Einfachheit halber ein entsprechendes Keyfile auf dem (ohnehin verschlüsselten (späteren)) /:
dd if=/dev/random of=/mnt/root/etc/keys/home.key bs=32 count=1Nun fügen wir diesen Schlüssel dem LUKS-Set von /dev/hda6 hinzu:
chmod 600 /mnt/root/etc/keys/home.key
cryptsetup luksAddKey /dev/hda6 /mnt/root/etc/keys/home.keyIm letzten Schritt ist die /mnt/root/etc/crypttab noch auf die geänderten Gegebenheiten anzupassen:
root /dev/hda3 none luks,retry=2,cipher=aes-cbc-essiv:sha256Fertig! Ein Reboot sollte nun beim starten des "normalen" Systems direkt nach einer Passphrase fragen. Hat man diese eingegeben, sollte nun also das eigentliche System hochfahren, in das nun alles Weitere installiert werden kann.
home /dev/hda6 /etc/keys/home.key luks,retry=2,cipher=aes-cbc-essiv:sha256
swap /dev/hda2 /dev/random swap
Sollte alles fehlschlagen, hat man immerhin noch ein Rettungssystem zur Hand, mit dessen Hilfe man die Prozedur doch noch einmal von vorn beginnen kann.
Über Feedback zum ganzen würde ich mich in diesem Fall sehr freuen.
Trackbacks
Trackback für spezifische URI dieses Eintrags
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hallo,
geniales Howto ! Dank Deiner Hilfe funktioniert bei mir nun auch endlich ein komplett verschluesseltes FS unter Dapper. Vielen Dank dafür !
Eine Frage habe ich allerdings noch:
Bei jedem Start von Gnome versucht Pmount die bereits entschlüsselten Partitionen nochmals zu entschlüsseln und fragt deshalb nach einem Passwort. Hat da vielleicht jemand nen Tipp, wie man das ganze abstellen kann (ohne Pmount zu deinstallieren).
Vielen Dank nochmal
Michael
geniales Howto ! Dank Deiner Hilfe funktioniert bei mir nun auch endlich ein komplett verschluesseltes FS unter Dapper. Vielen Dank dafür !
Eine Frage habe ich allerdings noch:
Bei jedem Start von Gnome versucht Pmount die bereits entschlüsselten Partitionen nochmals zu entschlüsseln und fragt deshalb nach einem Passwort. Hat da vielleicht jemand nen Tipp, wie man das ganze abstellen kann (ohne Pmount zu deinstallieren).
Vielen Dank nochmal
Michael
Gegenfrage: wozu nutzt du noch pmount? Reicht die der Volume-Manager nicht?
Feine Anleitung, danke. 
Für einen Anfänger wesentlich übersichtlicher als die Anleitung von Sternensucher.
Zwar hat es bei mir noch nicht ganz geklappt, aber ich bin zuversichtlich, es damit schaffen zu können.
Habe auf ubuntuusers.de noch auf eine Zwischenschritt hingwiesen, der es dem Anfänger erleichtert, die Verschlüsselung durchzuführen.
http://forum.ubuntuusers.de/topic/31676/15/
Für einen Anfänger wesentlich übersichtlicher als die Anleitung von Sternensucher.Zwar hat es bei mir noch nicht ganz geklappt, aber ich bin zuversichtlich, es damit schaffen zu können.
Habe auf ubuntuusers.de noch auf eine Zwischenschritt hingwiesen, der es dem Anfänger erleichtert, die Verschlüsselung durchzuführen.
http://forum.ubuntuusers.de/topic/31676/15/
Hallo, wurde von einem anderen Forum, zu dieser Seite verwiesen: Der post im Wintoal-Forum wahr:
Hallo, habe soviel gelesen, das der multiboot über den GRand Unified Bootloader realisiert werden kann; Der direkt auf die Platten zugreift. Meine Frage dazu : Wie sieht es aus, wenn man Festplatten - Verschlüsselungs Programme einsetzt, mit der sogenannten PreBoot Funktion. Ist es Möglich, wenn der Bootsektor, diese Passwort bzw. Entschlüsselungs-Sequenz enthält, trotzdem mehrere Betriebssysteme per GRUB zu booten. Mein Scenario währe dann #1 Windows XP (verschlüsselt) #2 Windows XP (normal) #3 Linux (verschlüsselt) ,was dann in Partitionen so aussehen sollte: #1 10GB #2 60GB #3 60GB; der Rest einer 250GB Festplatte zur freien Verfügung für eine logische Partition. Was denkt ihr: Kann das Funktionieren, wenn das HD- Verschlüsselung- Programm, ala Drivecrypt Plus Pack 3.0 ebenfalls auf unterster Ebene die HD´s ansteuert? Und wie setzt man dann, das System mit dieser Konfiguration auf?
PS: Das Verschlüsseln mit DriveCryptPlusPack 3.0 = wird normal nach der Installation des Betriebssystems mit dem programminternen Bootauth vollbracht, das sich dann in den MBR schreibt.
Das wahr mein Szenario: Nun frage ich mich, kann man das mit deiner Methode, unter Verwendung von Windows Betriebssystemen, mit einer Verschlüsselung realisieren? Linux wird eher seconder installiert. Mir währe auch wichtig, wenn eine andere Verschlüsselungs- Umgebung verwendet wird, das man die Festplatten Partitionen, auch nach dem aufsetzen des Systems de- bzw. encrypten kann. ohne die Daten zu verlieren.
Hallo, habe soviel gelesen, das der multiboot über den GRand Unified Bootloader realisiert werden kann; Der direkt auf die Platten zugreift. Meine Frage dazu : Wie sieht es aus, wenn man Festplatten - Verschlüsselungs Programme einsetzt, mit der sogenannten PreBoot Funktion. Ist es Möglich, wenn der Bootsektor, diese Passwort bzw. Entschlüsselungs-Sequenz enthält, trotzdem mehrere Betriebssysteme per GRUB zu booten. Mein Scenario währe dann #1 Windows XP (verschlüsselt) #2 Windows XP (normal) #3 Linux (verschlüsselt) ,was dann in Partitionen so aussehen sollte: #1 10GB #2 60GB #3 60GB; der Rest einer 250GB Festplatte zur freien Verfügung für eine logische Partition. Was denkt ihr: Kann das Funktionieren, wenn das HD- Verschlüsselung- Programm, ala Drivecrypt Plus Pack 3.0 ebenfalls auf unterster Ebene die HD´s ansteuert? Und wie setzt man dann, das System mit dieser Konfiguration auf?
PS: Das Verschlüsseln mit DriveCryptPlusPack 3.0 = wird normal nach der Installation des Betriebssystems mit dem programminternen Bootauth vollbracht, das sich dann in den MBR schreibt.
Das wahr mein Szenario: Nun frage ich mich, kann man das mit deiner Methode, unter Verwendung von Windows Betriebssystemen, mit einer Verschlüsselung realisieren? Linux wird eher seconder installiert. Mir währe auch wichtig, wenn eine andere Verschlüsselungs- Umgebung verwendet wird, das man die Festplatten Partitionen, auch nach dem aufsetzen des Systems de- bzw. encrypten kann. ohne die Daten zu verlieren.
Ich hab die Sache mit dem DriveCrypt Plus zwar vorher noch nie gehört (da ich seit längerem kein Windows mehr einsetze), so weit ich die Bschreibung der Sache verstehe, wird aber ohnehin die gesamte Platte damit verschlüsselt.
Von daher fällt's mir auch etwas schwer, dir irgend etwas dazu zu sagen, spätestens beim Windows-Thema bin ich ohnehin außen vor.
Alternativ könnte ich die TrueCrypt, das es auch für Windows gibt sehr ans Herz legen. Aus recht sicherer Quelle kann ich da jedenfalls verlautbaren lassen, dass es eins der sichersten Tools zur Verschlüsselung von Daten ist.
Von daher fällt's mir auch etwas schwer, dir irgend etwas dazu zu sagen, spätestens beim Windows-Thema bin ich ohnehin außen vor.
Alternativ könnte ich die TrueCrypt, das es auch für Windows gibt sehr ans Herz legen. Aus recht sicherer Quelle kann ich da jedenfalls verlautbaren lassen, dass es eins der sichersten Tools zur Verschlüsselung von Daten ist.
Ok, von True Crypt habe ich auch schon gelesen, das arbeitet mit Volumes bzw. Containern. Die Software die ich einsetze DriveCryptPlusPack "DCPP" verschlüsselt auch im nach hinein komplette Partitions-Inhalte, oder die ganze HD.
Bei Interesse hier ein Link zur Herstellerseite: "http://www.securstar.com/products_drivecryptpp.php"
Unter Windows XP mit einem Partitions- Manager Programm sieht das dann so aus:
"http://img293.imageshack.us/img293/3298/partitionsmagichdansicht19fg.jpg"
System intern mit der "Datenrägerverwaltung" von XP so:
"http://img399.imageshack.us/img399/3801/windowsxpdatergerverwaltunghda.jpg"
Die mit Unformatiert gekenzeichneten NTFS Partionen E: und F: sind Momentan mit DCPP-AES 256 verschlüsselt. Das selbe ist auch, mit Partition C: möglich, dazu muss man dann die Funktion Bootauth in DCPP aktivieren, bzw. Installieren, was so viel bedeutet, das in den MBR der Betriebssystem HD, die Sequenz zur Pre-Boot Authentication eingetragen wird. Was dann über eine Passworteinhgabe, den Verschlüsselungs-Key Freigibt und somit das Booten des Windows Betriebssystems ermöglicht.
Mein Schluss aus dem Part-Magic 8.0 Screenshot ist. Das DCPP, die Grenzen der Partition bestehen lässt, und nur den kompletten Inhalt, mit dem AES Algorithmus Verschlüsselt: in meinem Fall habe ich die Betriebssystem Partition Windows XP1 (C:) wieder entschlüsselt, zwecks 1:1 Backup per Acronis True Image 8.0 mit der es möglich ist, diese Partionen komprimiert zu sichern. Im verschlüsselten Zustand ist es nur als 1:1 RAW-Image möglich was bedeutet, das mein Abbild min. so groß wird wie die Partition, auch wenn diese nur zum Teil voll ist.
Von der Funktionsweise am nähsten zu True Crypt, ist von dem selben kommerziellen Hersteller, das Programm DriveCrypt 4.4, nicht mit DCPP verwechseln, was ein eigenständiges Programm des selben Herstellers Securestar ist!
Bei Interesse hier ein weitere Link zur Herstellerseite: "http://www.securstar.com/products_drivecrypt.php"
So, war zwar jetzt mehr informativer Vortrag meiner seits, aber nun eine abschließende Frage: Was denkst du, ist es möglich mit GRand Unified Bootloader nach der DCPP Sequenz im MBR, auser auf zwei Windows XP Betriebssysteme, evtl. auch auf ein unverschlüsseltes Linux zuzugreifen bzw. booten vermag? Da das Bootauth von DCPP nachträglich auch den Boot-Manager von Windows XP lädt, was zu Problemen führen kann, wenn dieser falsch konfiguriert ist. Der Screenshot von der Datenträgerverwaltung, hat mir Rückschlüsse gegeben, auf welcher ebene DCPP eingreift, da Windows XP die unformatierten Partitionen (laut Part-Magic 8.0) als ganz normale erkennt. Daher währe meiner Meinung nach, auch die Info notwendig, wo GRUB sich einordnen muss, um zu funktionieren. Zum endgültigen Abschluss noch: Ich übernehme selber die notwendige Verantwortung, für alle evtl. Probleme meines Systems, und was für mein System daraus resultiert. Eine bitte noch, falls das zu sehr Windows XP intern war, mir evtl. eine dir bekannte ziel Person zu empfehlen die mir da auch weiterhelfen könnte, oder wo man Erfahrungen in diesem Bereich, des Booten und Verschlüsseln Fachsimpeln kann.
Vielen Dank bisher und CU
Bei Interesse hier ein Link zur Herstellerseite: "http://www.securstar.com/products_drivecryptpp.php"
Unter Windows XP mit einem Partitions- Manager Programm sieht das dann so aus:
"http://img293.imageshack.us/img293/3298/partitionsmagichdansicht19fg.jpg"
System intern mit der "Datenrägerverwaltung" von XP so:
"http://img399.imageshack.us/img399/3801/windowsxpdatergerverwaltunghda.jpg"
Die mit Unformatiert gekenzeichneten NTFS Partionen E: und F: sind Momentan mit DCPP-AES 256 verschlüsselt. Das selbe ist auch, mit Partition C: möglich, dazu muss man dann die Funktion Bootauth in DCPP aktivieren, bzw. Installieren, was so viel bedeutet, das in den MBR der Betriebssystem HD, die Sequenz zur Pre-Boot Authentication eingetragen wird. Was dann über eine Passworteinhgabe, den Verschlüsselungs-Key Freigibt und somit das Booten des Windows Betriebssystems ermöglicht.
Mein Schluss aus dem Part-Magic 8.0 Screenshot ist. Das DCPP, die Grenzen der Partition bestehen lässt, und nur den kompletten Inhalt, mit dem AES Algorithmus Verschlüsselt: in meinem Fall habe ich die Betriebssystem Partition Windows XP1 (C:) wieder entschlüsselt, zwecks 1:1 Backup per Acronis True Image 8.0 mit der es möglich ist, diese Partionen komprimiert zu sichern. Im verschlüsselten Zustand ist es nur als 1:1 RAW-Image möglich was bedeutet, das mein Abbild min. so groß wird wie die Partition, auch wenn diese nur zum Teil voll ist.
Von der Funktionsweise am nähsten zu True Crypt, ist von dem selben kommerziellen Hersteller, das Programm DriveCrypt 4.4, nicht mit DCPP verwechseln, was ein eigenständiges Programm des selben Herstellers Securestar ist!
Bei Interesse hier ein weitere Link zur Herstellerseite: "http://www.securstar.com/products_drivecrypt.php"
So, war zwar jetzt mehr informativer Vortrag meiner seits, aber nun eine abschließende Frage: Was denkst du, ist es möglich mit GRand Unified Bootloader nach der DCPP Sequenz im MBR, auser auf zwei Windows XP Betriebssysteme, evtl. auch auf ein unverschlüsseltes Linux zuzugreifen bzw. booten vermag? Da das Bootauth von DCPP nachträglich auch den Boot-Manager von Windows XP lädt, was zu Problemen führen kann, wenn dieser falsch konfiguriert ist. Der Screenshot von der Datenträgerverwaltung, hat mir Rückschlüsse gegeben, auf welcher ebene DCPP eingreift, da Windows XP die unformatierten Partitionen (laut Part-Magic 8.0) als ganz normale erkennt. Daher währe meiner Meinung nach, auch die Info notwendig, wo GRUB sich einordnen muss, um zu funktionieren. Zum endgültigen Abschluss noch: Ich übernehme selber die notwendige Verantwortung, für alle evtl. Probleme meines Systems, und was für mein System daraus resultiert. Eine bitte noch, falls das zu sehr Windows XP intern war, mir evtl. eine dir bekannte ziel Person zu empfehlen die mir da auch weiterhelfen könnte, oder wo man Erfahrungen in diesem Bereich, des Booten und Verschlüsseln Fachsimpeln kann.
Vielen Dank bisher und CU
Bei mir funktioniert die Verschlüssel unter ubuntu mit dem neuen Kernel nicht mehr. Gibt es dazu eine Lösung?
Vielleicht bist Du so nett, hierzu auch was unter ubuntuusers.de zu schreiben.
http://forum.ubuntuusers.de/topic/31676/15/#249987
Vielleicht bist Du so nett, hierzu auch was unter ubuntuusers.de zu schreiben.
http://forum.ubuntuusers.de/topic/31676/15/#249987
Hallo,
vor dem ersten mounten der verschlüsselten Partitionen muss erst ein Dateisystem angelegt werden.
mkfs.ext3 /dev/mapper/root
mkfs.ext3 /dev/mapper/home
sollte das z.b. erledigen
Ansonsten danke für das howto!
vor dem ersten mounten der verschlüsselten Partitionen muss erst ein Dateisystem angelegt werden.
mkfs.ext3 /dev/mapper/root
mkfs.ext3 /dev/mapper/home
sollte das z.b. erledigen
Ansonsten danke für das howto!
Drei kleine Dinge sind bei mir noch schief gelaufen:
beim starten erscheint die Meldung
"unable to find volume group "root""...
scheint aber keine Auswirkungen zu haben
Außerdem wird nach einer Luks passphrase für den Swapspace gefragt, allerdings scheinen alle Konfigurationsdateien korrekt zu sein. Nach drei erfolglosen Versuchen bootet das System
Und der Rescue Modus scheint keinerlei Partitionen zu finden, daher ist ein booten nicht möglich
Weiss jemand Rat?
beim starten erscheint die Meldung
"unable to find volume group "root""...
scheint aber keine Auswirkungen zu haben
Außerdem wird nach einer Luks passphrase für den Swapspace gefragt, allerdings scheinen alle Konfigurationsdateien korrekt zu sein. Nach drei erfolglosen Versuchen bootet das System
Und der Rescue Modus scheint keinerlei Partitionen zu finden, daher ist ein booten nicht möglich
Weiss jemand Rat?
Hallo Stefan,
schreib doch in der /boot/grub/menu.lst anstelle:
title Rescue
root (hd0,0)
kernel /vmlinuz-rescue root=3,5 ro quiet
initrd /initrd.img-rescue
boot
in der "kernel-zeile" folgendes:
kernel /vmlinuz-rescue root=/dev/hda5 ro
bis denn
Alex
schreib doch in der /boot/grub/menu.lst anstelle:
title Rescue
root (hd0,0)
kernel /vmlinuz-rescue root=3,5 ro quiet
initrd /initrd.img-rescue
boot
in der "kernel-zeile" folgendes:
kernel /vmlinuz-rescue root=/dev/hda5 ro
bis denn
Alex
Hi.
Klasse tutorial. Funktioniert quasi einwandfrei bei mir.
Beim booten bleibt er immer stehen wenn er das Dateisystem prüfen will:
* Checking all filesystems...
/dev/mapper/root is mounted. e2fsck: cannot continue, aborting
Und dann hab ich ne shell die ich mit CTRL-D schliessen muss um wieterzukommen.
kann ich das irgendwie verschieben damit ich die partition freischalte, dann geprüft wird und erst dann der mount kommt?
Klasse tutorial. Funktioniert quasi einwandfrei bei mir.
Beim booten bleibt er immer stehen wenn er das Dateisystem prüfen will:
* Checking all filesystems...
/dev/mapper/root is mounted. e2fsck: cannot continue, aborting
Und dann hab ich ne shell die ich mit CTRL-D schliessen muss um wieterzukommen.
kann ich das irgendwie verschieben damit ich die partition freischalte, dann geprüft wird und erst dann der mount kommt?
sehr schöne Anleitung. Funktioniert auch (fast) mit Edgy:
Nachinstalliert habe ich nix besonderes.
Der Eintrag für den Grub funktioniert bei mir nur andersrum, und zwar so:
# kopt_2_6=root=/dev/hda5 cryptoroot=/dev/mapper/root_c ro
danke schön.
Nachinstalliert habe ich nix besonderes.
Der Eintrag für den Grub funktioniert bei mir nur andersrum, und zwar so:
# kopt_2_6=root=/dev/hda5 cryptoroot=/dev/mapper/root_c ro
danke schön.
initramfs-cryptsetup_0.43_all.deb kann man leider von dem angeben finnischen nicht mehr runterladen. jemand einen tipp wo man dies noch herbekommt?
Kommentar schreiben
Links des Artikels
Suche
Kalender
|
July '09 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
Powered by
Sonstiges
