Festplattenverschlüsselung

From chaoswiki
Jump to navigation Jump to search

Wozu braucht man Festplattenverschlüsselung

  • Falls das Notebook gestohlen wird, dass sensible Informationen geschützt bleiben
  • Falls die Bullen mich beim Superhack des Jahres erwischt haben, dass sie keine Beweise von meiner Festplatte haben.
  • Wenn die ganze Festplatte verschlüsselt ist, kann ich sie auch auf Ebay versteigern, ohne sie vorher Formatieren zu müssen.
  • Sollte man paranoid sein

Implementationen unter:

Linux 2.2 / 2.4 / 2.6

Unter Linux 2.4 wird die Festplattenverschlüsselung mit dem Loopback-Device realisiert. Es können alle im Kernel verwendbaren Verschlüsselungsalgorythmen verwendet werden, jedoch ist nach verschiedenen Angaben die Implementation "nicht sehr sauber" und das Design kann zu fehlern führen. Dazu kommt, dass es offensichtlich früher (oder auch heute ?) zahlreiche Bugs in der loop.c des Linux Kernels gegeben hat.


Die Dokumentation für cryptoloop des Linux Kernels (2.6) meint dazu auch:

 WARNING: This device is not safe for journaled file systems like ext3 or Reiserfs. 
Please use the Device Mapper crypto module instead, which can be configured to be on-disk
compatible with cryptoloop device.

Neu mit Linux 2.6

Die bessere Methode um eine Verschlüsselung unter Linux 2.6 zu realisieren ist der Device-mapper. Die Implementation ist wesentlich sauberer und unterstützt (bis jetzt) alle filesystems, auch die "Journaled file systems". Es sollte allerdings eine Kernelversion von mindestens 2.6.4 verwendet werden. Empfohlen ist jedoch eine Kernelversion ab 2.6.10.

Praktischer Teil

Es sollte sich beim Linux-Kernel mindestens um die Version 2.6.10 handeln, da dort und schon früher verschiedene Bugs gefixt wurden. Die Kernel-Version findet man mit

 uname -r

heraus.

Mit Linux 2.6 einen verschlüsselten Container erstellen

Ein Container hat den Vorteil, dass wir die Partitionstabelle nicht anrühren müssen, gleîchzeitig die grösse des Containers aber wählen können.


Hierfür sollten folgende Teile im Kernel vorhanden sein.

loopback device

device mapper

crypto-targed

twofish

sha256

Am besten man trägt in die /etc/modules folgende Zeilen ein:

 aes
 dm_crypt
 dm_mod
 loop
 twofish
 sha256

Wir erstellen uns ein Image-File mit 100MB (count=100)

 % dd if=/dev/urandom of=/home/user/secret bs=1M count=100 

Danach setzen wir die dateil /home/user/secret als loopback-Device

 % losetup /dev/loop/0 /home/user/secret

Hier unterscheidet sich die Device-mapper methode von der alten cryptoloop-Methode. Diese würde nun nach dem Aufruf von losetup noch die encryption-Option -e [cypher] benötigen.

 % losetup -e aes /dev/loop/0 /home/user/secret

Da diese Methode jedoch veraltet ist, fahren wir wiefolgt fort. Für den nächsten Schritt muss aber (wenigstens) das Modul dm_crypt und loop im Kernel geladen sein:

 % modprobe dm_crypt
 % modprobe loop

Wir erstellen ein virtuelles Crypto device mittels cryptsetup

 % cryptsetup -y create secret /dev/loop/0
 [ENTER YOUR PASSPHRASE]
 [ENTER YOUR PASSPHRASE]

Dies erstellt ein Device in /dev/mapper/ mit dem Namen secret. Also /dev/mapper/secret. Dieses virtuelle Device kann jetzt wie eine Partition behandelt werden.

Achtung: cryptsetup verwendet standardmässig den AES Algorithmus. Dieser ist auf i586, Assembler optimiert, was einen Vorteil bei der Geschwindigkeit bringt, jedoch der Algorithmus als kritisch anzusehen gilt. Siehe weiter unten. Desshalb sollte die Option -c twofish verwendet werden.

 % cryptsetup -y -c twofish create secret /dev/loop/0
 [ENTER YOUR PASSPHRASE]
 [ENTER YOUR PASSPHRASE]

Die Option -y von cryptsetup bewirkt dass der Passphrase zwei Mal abgefragt wird. Wird sie weggelassen kann die Möglichkeit bestehen, sollten wir z.B. einen Tippfehler gemacht haben, dass wir den Passphrase nur "falsch" kennen und wir nur noch Schrott im Container haben.

Um einen Watermark Angriff zu verhindern, http://de.wikipedia.org/wiki/Watermark_attack und um gleiche Daten immer anders aussehen zu lassen hängen wir noch folgende Option an, bzw. wir ändern den Verschlüsselungsalgorithmus wiefolgt.

 % cryptsetup -y -c twofish-cbc-essiv:sha256 create home /dev/loop/0

Dann erstellen wir uns ein Dateiensystem auf dem Loopback-Device.

 % mkfs.ext3 /dev/mapper/secret

Jetzt können wir das Device ganz normal mounten, wohin wir auch immer wollen.

 % mount /dev/mapper/secret /mnt/secret

Um das Device wieder zu entfernen, z.B. zum unmounten

 % umount /mnt/secret
 % cryptsetup remove secret /dev/loop/0


Beim mounten müssen wir jetzt jedes Mal folgenden Befehl neu eingeben, um das entschlüsselte virtuelle Device /dev/mapper/secret zu erhalten.

 % cryptsetup create -c twofish-cbc-essiv:sha256 secret /dev/loop/0
 [ENTER YOUR PASSPHRASE]

Sollten wir jedoch den Passphrase falsch eingegeben haben, wird das Device /dev/mapper/secret trotzdem erstellt. Beim Mounten hingegen wird kein Dateiensystem gefunden.

Mit Linux 2.6 einzelne Partitionen verschlüsseln

Wir haben, sagen wir mal, unsere /home Partion auf /dev/hda6 und natürlich root-Rechte.

Wir machen ein simples Backup von home.

 % tar -cvvjf home.tar.bz2 /home/


Partition unmounten...

 % umount /home/


Festplatte zufällig überschreiben...

 % wipe -qk /dev/hda6

Damit wird die Partition (/dev/hda6) aus /dev/random 4 Mal überschieben (Option -q). Die Option "-k" (keep) gibt an, dass die Datei nach Beendigung des Überschreibens nicht gelöscht wird.


Wir müssen nun den Key und den Passphrase festlegen. Es gibt mehrer Möglichkeiten dies zu tun. Die einfachste Möglichkeit, ist den Key im Partitionsheader festzulegen, und einen Passphrase um ihn freizuschalten.

 % cryptsetup create -c twofish-cbc-essiv:sha256 homepartition /dev/hda6
 [ENTER YOUR PASSPHRASE]

Jetzt müssen wir einen Passphrase eingeben. Beim erstellen sollten man jedoch, wie oben auch erwähnt, die Option -y verwenden, welche veranlasst, dass man das Password zweimal eingeben muss.

 % cryptsetup -y create -c twofish-cbc-essiv:sha256 homepartition /dev/hda6
 [ENTER YOUR PASSPHRASE]
 [ENTER YOUR PASSPHRASE]

Dies erstellt ein virutelles Blockdevice, /dev/mapper/homepartition. Sollte man das Password allerdings zweimal falsch eingegeben haben, wird das Device auch erstellt. dann muss man das device wieder entfernen.

 % cryptsetup remove homepartition /dev/hda6


Sollten wir allerdings den Passphrase richtig eingegeben haben, können wir jetzt ein Dateiensystem auf dem virtuellen Blockdevice erstellen.

 % mkfs.ext3 /dev/mapper/homepartition


Dann können wir unsere neue home-Partition mounten.

 % mount /dev/mapper/homepartition /home/

Um unsere Verschlüsselte Partition wieder zu schliessen verwenden wir einfach folgende Befehle

 % umount /home
 % cryptsetup remove homepartition /dev/hda6

Linux 2.6 und swap verschlüsseln

Nachdem man die o.g. Module in die /etc/modules eingetragen hat, sind nur noch 2 Schritte notwendig:

1. In unserem Beispiel liegt die swap auf /dev/hda3 (dies muss man gegebenenfalls anpassen). Um herauszufinden, wo die swap liegt, genügt ein

 % cat /etc/fstab | grep swap

Anschließend öffnet man die /etc/crypttab und fügt folgende Zeile ein:

 swap /dev/hda3 /dev/urandom swap,cipher=twofish-cbc-essiv:sha256

2. Jetzt muss man nur noch in der /etc/fstab die Zeile

 /dev/hda3       none            swap    sw              0       0

in folgende Version abwandeln:

 /dev/mapper/swap none           swap    sw              0       0


Fertig.

Linux 2.6 und cryptsetup-luks

todo

Linux 2.6 und rootfs verschlüsseln

todo

Anmerkungen

Journaling Dateiensysteme (ext3, Reiserfs, usw)

Man Sollte z.B. das Keyfile nicht auf einer ext3 oder einem anderen Journaling Filesystem haben. 1. Nicht im Klartext (logisch) und 2. ist das Löschen einer Datei auf einem Journaling Dateiensystem mit Problemen verbunden. Auch mittels wipe kann die Möglichkeit bestehen, dass die Datei nach Löschen aus dem Journaling wieder hergestellt werden kann, da ja das Dateiensystem "Buch führt" über die Veränderungen des Dateiensystems. Dies ist ja eines der Features von Journaling Dateiensystemen.

AES

Es gibt sehr ernstzunehmende Hinweise, dass AES möglichweise doch nicht so sicher ist wie von vielen behauptet. Die Kritik bezieht sich hier hauptsächlich auf den Rijndael Algorithmus dem AES zugrunde liegt. Die geringe Rundenanzahl von nur 10 Runden ist nach Meinung von Kryptographen zu wenig. Zudem ist die Struktur sehr einfach. Mehr dazu hier:

http://www.cryptolabs.org/aes/WeisLucksAESattacksDS1202.html

Es wird empfohlen den Twofish Algorithmus zu verwenden! (-c twofish)

Twofish

Der Linux Kernel hat eine auf i586, Assembler Optimierte Version von AES im Quellcode. Der Geschwindikeitsunterschied ist ziemlich spührbar. Die twofish Implementation ist nicht Assembler optimiert und daher auch langsamer. Es gibt jedoch eine Twofish-Assembler Implementation. Sie ist allerdings experimental und nicht für den Productiv Einsatz zu empfehlen. Zudem ist das ganze ziemlich dirty Programiert und von den Linux-Maintainern abgelehnt worden (AFAIK). Es ist eine Windows Box von nöten, um das Linux Modul zu übersetzen.

http://clemens.endorphin.org/twofish-i586/

Geschwindigkeit

Unter Debian Etch (Kernel 2.6.15-1-486) ergaben sich mit bonnie++ folgende Werte (IDE Festplatte):

Sequential Output Sequential Input Random
Seeks
Sequential Create Random Create
Size:Chunk SizePer CharBlockRewritePer CharBlockNum FilesCreateReadDeleteCreateReadDelete
K/sec% CPUK/sec% CPUK/sec% CPUK/sec% CPUK/sec% CPU/ sec% CPU/ sec% CPU/ sec% CPU/ sec% CPU/ sec% CPU/ sec% CPU/ sec% CPU
ext31768M318446535108101192822164442279192184.5016263898++++++++++++++++247698++++++++1156499
twofish1768M233444836643251053131408628195481191.2016175098++++++++++++++++219897++++++++1096398
aes2561768M1735935244646977411262325167281210.6016103598++++++++++++++++97998++++++++1016799

Man beachte, dass Twofish deutlich besser abschnitt als AES. Weitere Ergebnisse sind unter http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio zu finden.