Platten chiffrieren mit dmcrypt
Jan-Benedict Glaw
jbglaw at lug-owl.de
Fri Jan 13 20:43:00 CET 2006
On Fri, 2006-01-13 20:05:11 +0100, Florian Schwarz <floh at linland.de> wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Thomas Findeisen schrieb:
>
> > Beim anlegen des Devices wird natürlich nach der Passphrase verlangt.
> > Nun hab ich mittlerweile zwei Platten und auch vor, weitere zu
> > chiffrieren. Für jede Platte darf ich die, nicht gerade kurze, Phrase
> > nochmals eingeben. Kann man das irgendwie zusammen pipen und mehr als
> > ein Device mit cryptsetup anlegen? Das macht einen sonst handlahm ;)
>
> Wie wäre es, wenn du mit Keyfiles arbeitest? Du packst dir auf dein
Dumm.
> erstes LW denn Passkey drauf und mountest mit dem dann die Anderen. Dann
> sind zwar die anderen beiden Platten komprimitiert sobald die erste
Komprimiert? Du meinst "kompromitiert"?
> geknackt ist, aber wenn ich das richtig verstanden habe benutzt du
> sowieso nur einen Passkey und von daher wäre das mit dem Keyfile nicht
> weiter tragisch.
> Oder pack dir auf nen USB Stick die Keyfiles drauf und steck den beim
> Booten einfach dran. Dann sparste dir das gesamte eingeben der Passkeys.
Der Punkt ist: das, was dm-crypt eingefüttert haben will, ist eine
Zeile Hexzeichen. Das kann sich keine Sau merken. Dagegen kann man
entweder USB-Sticks etc. nehmen (die können einem weggenommen werden),
oder man generiert den Hex-Kram aus einer Passphrase:
stty .... # echo ausschalten
read PASSPHRASE
stty ... # echo wieder einschalten
KEY0=""
KEY1="`echo "${KEY0}${PASSPHRASE}" | md5sum | cut -b 1-32`"
KEY2="`echo "${KEY1}${PASSPHRASE}" | md5sum | cut -b 1-32`"
KEY3="`echo "${KEY2}${PASSPHRASE}" | md5sum | cut -b 1-32`"
KEY4="`echo "${KEY3}${PASSPHRASE}" | md5sum | cut -b 1-32`"
KEY="`echo "${KEY4}${KEY3}${KEY2}${KEY1}" | cut -b 1-....`" # Keylänge gemäß /proc/crypto
Nachteil: "echo" könnte als nicht-builtin ausgeführt werden und
dementsprechend könnte die Passphrase in der Prozeßliste auftauchen;
außerdem kann die shell kein mlockall() machen. Das sollte man also in
ein paar Zeilen C implementieren...
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481 _ O _
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg _ _ O
für einen Freien Staat voll Freier Bürger" | im Internet! | im Irak! O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20060113/e325204c/attachment.sig>
More information about the Linux
mailing list