[linux] goeie HELE disk encryption howto gevonden

van een persoon wiens howto voor encrypted filesystems ik had gelezen en waarmee ik wat gemaild heb kreeg ik deze howto toegestuurd. hij beschrijft hoe je als je wilt je HELE systeem kunt encrypten en beveiligen met als sleutel een usb pendrive met een passphrase.

er wordt hier beschreven hoe je er een nieuwe linux op installeert, maar ikzelf zou liever willen weten hoe ik m'n bestaande debian erheen kan verplaatsen.
iig vond ik het zeer interessant, jullie hopelijk ook !

(en ik hoop dat er wat mensen het gaan proberen enzo)

losetup -e AES256 -T /dev/loop0 /dev/hda2 (or whatever is your root partition)
give the secret pass phrase that you want (DONT FORGET WHAT IT IS!)
dd if=/dev/hda2 of=/dev/loop0 bs=64k conv=notrunc (this will take a while if the partition is real big SO DONT WORRY)

dit is wel freaky, ik wist nieteens dat je met dd iets naar zichzelf kon schrijven (lijkt me ook vrij verneukt als er een fout optreedt). het slimme ventje op dat gentooforum slaat wel een ding over, zoals je hier kunt lezen. ik zal even uitlichten wat het belangrijke stuk van die pagina is:

veel encrypted fs howto's benadrukken het belang van het vooraf vullen van de file of de partitie of disk waar het encrypted fs op gaat komen met meuk uit /dev/urandom (duurt een EEUWIGHEID met 20GB).

als je dat NIET doet ziet de disk er voor een aanvaller zo uit:


als je dat WEL doet heeft ie geen idee van wat echte data is en wat niet:


wat ik me nu afvraag is of hetzelfde effect bereikt wordt als je op elk fs dat je encrypt achteraf vulling maakt met een file waarvan je de inhoud alsnog van /dev/urandom haalt.

ik heb al gekeken en je hebt voor 20 piek al zo'n pendrive, ik hoop alleen dat m'n asus a7v ervan boot. en de performance opmeten van al dan niet encrypted is ook wel handig met m'n slappe duron650 !

edit: als ik het verhaal op dat gentooforum goed lees komt het er dus op neer dat je voor elke partitie opnieuw je password moet geven ?

[ Voor 6% gewijzigd door Bananenplant op 15-08-2003 15:35 ]

=> 16 tekens? mwa, misschien meer om je tegen jezelf te beschermen... volgens mij zit er niet echt een ondergrens aan je wachtwoordlengte en ik snap ook niet helemaal hoe je op basis daarvan de encryptiesterkte kunt beoordelen !

*schop*

ik ben wat met dat ding aan het puzzelen, en ik zie dat ze willen dat ik een andere kernel patch gebruik dan die ik al heb. ik heb van kernel.org de jariloop-patch gebruikt en voor de verwisselbare media waarvoor ik die encryptie gebruik bevalt die prima, de losetup die bij debian zit snapt ook wat ie ermee moet.

ik loop alleen wel tegen een wat vervelend probleem aan hier. in de tutorial staat deze line in een script:

het eigenlijke password voor de hd zit dus encrypted in de file 'key' en de inhoud hiervan wordt middels een loopback device en input redirection naar losetup doorgepasst. de syntax van de losetup die ik heb ziet er zo uit:

alleen... ik heb getest met een cdrom die ik had gemaakt, de key size heb ik met die -k in het commando gekregen (standaard moest je die zelf intikken), maar als ik zelf een text file maak met m'n password erin en ik voer die file met een < aan losetup blijft ie om het password vragen ...

ik heb bij wijze van test van < nog even een een lijstje woordjes in een file aan sort gevoerd, dat gaat goed. kan het zijn dat losetup het regeleinde niet pakt ofzo? en zijn er nog andere manieren om die input vanaf iets anders dan m'n keyboard erin te krijgen?

als iemand een goed stappenplan heeft om een kernel met loopaes te bereiden is dat natuurlijk ook goed; ikzelf heb er nog niks fatsoenlijks over kunnen vinden.