Platten chiffrieren mit dmcrypt
Jan-Benedict Glaw
jbglaw at lug-owl.de
Fri Jan 13 20:15:41 CET 2006
On Fri, 2006-01-13 19:56:32 +0100, Thomas Findeisen <npl at npl.de> wrote:
> >> Nein. Was meinst du mit "IV-Problemen"?
> > [ ] Du hast Dir die MÃŒhe gemacht, mal "dm-crypt iv problem" bei Google
>
> Ich wollte erstmal wissen was du mit IV meinst.
> Informationsverarbeitung? Interruptvektor? Imbissverkäufer? Kein Grund
> unhöflich zu werden.
Wenn Du solche Systeme aufsetzt, solltest Du vorher einige Grundlagen
beherrschen, sonst kannst Du wegen kleinster Fehler gleich das gesamte
System wieder offen wie ein Scheunentor machen.
> > Ja, und wie denn nun? Irgendwo/irgendwann mu�t Du den Kram eintippen.
> > Das kann Dir kein Script abnehmen.
>
> Ach? Ich sprach, beziehungsweise, tipptionierte, vom eingeben der
> Passphrase für *eine* Platte. Anschließend soll *diese* Phrase für die
> weiteren Platten ebenfalls genutzt werden.
[ ] Das ist ein pfiffiger Plan.
> Ich habe *kurz* angelesen was max meinte. Nachdem ich die sehr aus-
> sagekräftige Abkürzung von ihm übersetzt bekam. Nicht das dmcrypt-
> Konzept. Das läuft seit ca 11 Monaten ohne Beanstandung. Nur lang-
Sinnvoller Ansatz wäre z.B., die Platte(n) in logical volume
aufzunehmen und dann das LV mit dm-cryptzu behandeln. Natürlich hast
Du dabei das Problem, einen Totalausfall zu riskieren, wenn eine
Platte stirbt. Dagegen könntest Du z.B. SoftRAID mit den Platten
machen, die MDs nimmst Du dann als PVs in eine VG zusammen, die dann
das LV anbietet, daß Du mit dm-crypt behandelst. Da da jetzt eine
Abkrüzung die andere jagt:
+-------------------------------------------------+
| Filesystem: ext3 |
+-------------------------------------------------+
+-------------------------------------------------+
| dm-crypt: data-crypt |
+-------------------------------------------------+
+-------------------------------------------------+
| logical volume: data-lv |
+-------------------------------------------------+
+---------------------------------------------------------+
| volume group: data-vg |
+---------------------------------------------------------+
+---------------------------+ +---------------------------+
| Physical volume: pv0 | | Physical volume: pv1 |
+---------------------------+ +---------------------------+
+---------------------------+ +---------------------------+
| md0 (RAID-1) | | md1 (RAID-1) |
+---------------------------+ +---------------------------+
+------------+ +------------+ +------------+ +------------+
| platte0/p0 | | platte1/p0 | | platte2/p0 | | platte3/p0 |
+------------+ +------------+ +------------+ +------------+
Die Platten selbst hab' ich da rausgelassen und stattdessen nur
jeweile eine Partition aufgepinselt (das würde man aus praktischen
Aspekten vermutlich so machen).
Das Schöne is' halt, daß Du jederzeit weitere Platten dazutun kannst;
dann vergrößerst Du die Container (also die VG und das LV), erweiterst
das 'dm-crypt'-Mapping und läßt das Filesystem wachsen.
Wichtig ist vor allem, daß Du als IV keinen der "plain"-Typen nimmst,
das macht es einem Angreifer potentiell einfacher, die
Crypto-Geschichten zu brechen. Natürlich kannst Du auch weitere
VGs/LVs/dm-crypt-Filesystems anlegen, aber Du solltest _nie_ dasselbe
"Password" zweimal benutzen. Nie.
MfG, JBG
--
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg _ _ O
für einen Freien Staat voll Freier Bürger" | im Internet! | im Irak! O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20060113/92fb53a3/attachment.sig>
More information about the Linux
mailing list