GentooForum.de

wieso willst du den deine swap verschlüsseln?

ich möchte meinen, das geht über auf die performance. und wenn du paranoid bist, kannst du sie beim shutdown mit nullen füllen. einfach in der /etc/conf.d/rc RC_SWAP_ERASE auf yes setzen.

Lorenz

hi,

wenn das system "nur" verwendet wird, um absolut geheime daten aufzubewahren, kannst du doch auch die swap weglassen... oder?

warum brauchst du denn eine verschlüsselung der ganzen parition? langt es nicht, einige bereiche in eine verschlüsselte loop zu packen?

das wär zumindest schneller une einfacher.
wenn ein angreifer deine /usr/bin/fluxbox ausliest, kann er mit viel aufwand deine gcc-version, die version deiner libs und deine CFLAGS und USE rauskriegen. also nichts was ihn ernsthaft interessieren würde.


Lorenz

Zitat

Original von milke
Ein Grund ist sicher das ein Angreifer mit physischen Zugang zum
Rechner alle dort ausgeführten Befehle , Programme usw. nachvollziehen kann,
(wenn er die Festplatte in einen anderen Rechner einhängt).
Ein weiterer Grund ist das ein Angreifer mit (physischen Zugang zum
Rechner) ein rootkit unterschieben kann,
was dann das verschlüsseln aushebelt.

Du hast dir mit diesem Post selber ein Bein gestellt: Mit eben solchen Rootkits kannst du wirklich JEDEN Verschlüsselungsmechanismus aushebeln, weil der Computer die Inputdaten unverschlüsselt braucht. Da kannst du noch lange 'rumsuchen; wenn du eine Echtzeit-Verschlüsselungslösung sucht, bei der du dabei uneingeschränkt arbeiten kannst.

Den Arbeitsspeicher darf man auch nicht vergessen, denn dort liegen die Daten unverschlüsselt vor und mit einem Rootkit kann man sowas auch auslesen.

Also: Wenn du einen Hochsicherheits-PC brauchst, dann darf er an keinem Netzwerk angeschlossen sein und physisch müsste er auch verblombt sein. Ein Diskettenlaufwerk und CD-/DVD-Laufwerk dürfte es dann auch nicht besitzen...

Irgendwie hört sich das schon paranoid an.

Eine Möglichkeit hast du noch: Es gibt Verschlüsselungskits, die ganze Festplatten verschlüsseln, die du nicht an die IDE-Schnittstelle des Mainboards, sondern der speziellen PCI-Karte anschließt. DIE sind aber teuer und selten. Und die ganze System-Festplatte per Software komplett zu verschlüsseln geht nicht, weil Linux ja irgendwie gestartet werden muss und das Kryptographieprogramm ebenfalls. Der PC kann sich's ja nicht selbst entschlüsseln.

Aber auch diese "Hochsicherheitskarten" sind durch Trojaner "aushebelbar" wie ein freund von mir feststellen mußte.

Für so einen "Hochsicherheits" PC muß ein Komplettes Sauberes Konzept erstellt werden. Das geht von der Hardewaresicherheit (Verschlüsselte Daten, KEINE EMP Abstrahlung,...), Softwaresicherheit (Welche Programme, Trojanerschutz, Netzschutz, ...) bis zum Userschutz (Wer hat welche Rechte, wer darf ran, ...)

Wenn man sowas braucht, sollte man sich aneinen Spezialisten wenden. Solche Rechner sind (wegen des Konzeptes) sowieso teuer und es ist blöde, wenn man wegen eines Denkfehlers ein Gehardeten-Multitausendeuropc die Sicherheit eines Normalpc hat....

Schutz vor Angreifern die Physikalischen Zugriff auf dem PC haben ist seeeeehr schwer

Ich würde an Deiner Stelle Dich erstmal fragen, wofür Du einen Sicherheits-PC brauchst und welche Bereiche Du zuerst mit "Minimalaufwand" schützt. So wie ich Dich verstehe würde ich einen "Gehardeten" Gentoo-PC (Ohne gcc) und Verschlüsselungstools verwenden ...

Gruß,
Werner

P.S. Physikalisch überschriebene Dateien sind zwar zu retten, aber Deine 200 Euro sind da seeehr optimistisch .. hänge mal mindestens 1 Null dran ...

P.P.S. Grundsätzlich sind jede von Menschen erdachte Lösung zur Datensicherheit von Menschen mit Komplettzugriff, Geld und Zeit knackbar

Verschlüsselter Rechner? Wenn du so eine Frage stellst, dann zeigt es eigentlich nur, dass du keine Vorstellung hast, wie ein Computer funktioniert.

Es gibt nicht so nebenbei ein "Tool", mit dem man einfach 'mal so den ganzen PC verschlüsseln kann, denn es gibt immer irgendwo eine Instanz, die deine "geheimnisvollen" Daten im Klartext handhaben. Wenn's so'n Tool gäbe, dann wäre das schon längst Kernelstandard.

Es interessiert kein Schwein, welche Software du benutzt, denn mit der Verschlüsselung allein kann man eigentlich schon ermitteln, mit welcher Software diese erstellt wurde und dann gegebenfalls diverse mathematische Sicherheitslücken ausnutzen. Jeder Hauptprogrammierer hat seine Gedankensystematik und die spiegelt sich letztendlich über den Programmiercode auf die Verschlüsselung wieder.

Um des Abzuhaken: Nein, es gibt kein Tool. Grund genug, absolut geheime Daten auf Papier zu schreiben und in einen Kryptex mit Salz- statt Essigsäure zu stecken...

Absolute Sicherheit findest nirgendwo auf der Welt. Was glaubst du eigentlich hat die Evolution den Sex zur Fortpflanzung geschaffen?

Zitat

Original von Carminis
Absolute Sicherheit findest nirgendwo auf der Welt.

Das Gehirn kann man noch nicht auslesen

Noch nicht ....

Aber die Amis arbeiten dran ..

Einen Rootkit könntest du vielleicht dadurch aufspüren, dass du nach der Entschlüsselung vor dem aktivieren des Netzwerks (oder sagen wir "als allererstes") ein backup von /boot machst und schaust, ob es gleich dem alten Backup von /boot ist. Wenn nicht, dann muss sich irgendwas am Kernel geändert haben (vielleicht durch Unterschiebung eines Rootkits).
Dann könntest du dir die Möglichkeit geben zu über eine Dialogbox entweder das alte Backup zurückzuspielen und den Rechner neu zu starten oder diese Warnung zu umgehen (wenn du selbst ein Kernelupdate oder eine Änderung an /boot vorgenommen hast).

Du kannst auch /boot auf einen USB-Stick speichern und von diesem booten. Dann sind alle Daten auf der Festplatte verschlüsselt und wenn Du gehst nimmst Du den USB-Stick mit.

Vielleicht helfen dir folgende Artikel aus dem Linux-Magazin weiter:

von 2005:
http://www.linux-magazin.de/heft_abo/aus…e_niederschrift
von 2006:
http://www.linux-magazin.de/heft_abo/aus…nd_ausspioniert
http://www.linux-magazin.de/heft_abo/aus…aese?category=0
http://www.linux-magazin.de/heft_abo/aus…ler_datentresor