>> Was hast du gegen Luks?
1.) Ich weiß nicht, ob die Implementierung mittlerweile verbessert worden ist, aber nach dem, was ich zuletzt gelesen hatte, führt ein geändertes Byte im Klartext bei dmcrypt zu geänderten 16 Byte im verschlüsselten Block, loop-aes hingegen ändert alle 512 Byte im Block.
2.) AFAIK verwendet LUKS/dmcrypt kein keyscrubbing. Du fährst Deinen Laptop runter, verläßt das Hotelzimmer und während der nächsten bis zu 10 Minuten ist der Schlüssel aus dem Ram extrahierbar. Stichwort: Cold boot attack.
>> Ich habe damit meine ganzen Platten verschlüsselt.
Nichts für ungut, aber soll das heißen?
>> So weit ich weis ist loop-aes doch veraltet!?
Du verwechselst loop-aes nicht zufällig mit cryptoloop?
>> Ich würde so vorgehen:
>> Ein bootpartition anlegen die ca 100MB und unverschlüsselt ist
Wo? Auf dem vollverschlüsselten Device? Und wie soll ich davon den Kernel laden?
>> Auf dieser Partition liegen nur der kernel und das initramfs und grub. Also nichts was einen angreifer interessieren könnte.
Doch: man kann Deine initramdisk und Deinen Kernel kompromittieren.
> oder du verzichtest ganz auf gespiecherte schlüssel und tippst es jedesmal ein (ist am sichersten).
Nein, am sichersten ist, sowohl einen Schlüssel als auch eine Passphrase zu verwenden. (etwas, was Du hast und etwas, was Du weißt.) Natürlich muß der Key sich auf einem externen Medium befinden, das Du immer dabei haben kannst.
Mein Setup sieht vor, daß einem Angreifer auf der Festplatte _keine_ unverschlüsselten Daten angeboten werden. Das betrifft auch Metadaten wie die Partitiontabelle. Also so:
Festplatte > loop-aes > Partitionierung > Dateisysteme > Dateien
Ich finde aber nur Howtos für
Festplatte > Partitionierung > loop-aes > Dateisysteme > Dateien
oder
Festplatte > Partitionierung > Dateisysteme > loop-aes > Dateien
Für FreeBSD gibt es eine entsprechende Möglichkeit mit
geli , leider läuft das auf meinem Laptop nicht.
Trotzdem Danke
®aina