Eigentlich wollte ich euch einen Artikel über die Erstellung eines Software-RAID’s unter Debian schreiben, aber das wäre ein sinnloses Unterfangen gewesen. Dem Wiki-Eintrag bei ubuntuusers.de gibt es nämlich nichts mehr hinzuzufügen. Daher habe ich mich entschlossen euch „Loop-AES“ etwas näher zu bringen, die AES-Verschlüssung sollte jedem von Euch ein Begriff sein. Was aber macht Loop-AES? Loop-AES erzeugt ein neues „loop“-Device, was euch beim ISO-Image mounten unter Linux schon ein Begriff sein könnte. Dieses Loop-Device wird zwischen dem eigentlichen Device und dem Mountpunkt gehangen.
losetup -a /dev/loop0: [000d]:3313 (/dev/md0) encryption=AES256
grep loop /etc/fstab /dev/md0 /media/fooooo ext3 defaults,loop=/dev/loop0,encryption=AES256,noauto 0 0
Das Loop-Device verschlüsselt die Daten mit AES256 bevor diese auf das eigentliche Device geschrieben werden, je nach Einstellungen natürlich auch mit einer anderen Bit-Zahl. Loop-AES kann nicht nur Block-Devices verschlüsseln sondern auch Container die zum Beispiel mit „dd“ erstellt werden können. Es gibt für Linux viele verschiedene Verschlüsselungsmöglichkeiten : Truecrypt, DM-Crypt, Loop-AES, Cryptsetup etc., warum ich mich für Loop-AES entschieden habe kann ich euch nicht sagen. Eine kleine HowTo möchte euch dennoch nicht vorenthalten:
Zuerst holen wir uns die Source und lassen es mit Hilfe des module-assistent kompilieren.
aptitude install loop-aes-utils loop-aes-source m-a update m-a prepare m-a build loop-aes
Danach installieren wir das vom „module-assistent“ kompilierte *.deb Paket.
dpkg -i /usr/src/loop-aes-modules-2.6.26-2-amd64_3.2c-2+2.6.26-19_amd64.deb
Nun laden wir das „loop“ Module neu:
modprobe -r loop modprobe loop
Hier bestimmen wir die Verschlüsselung und das Block-Device bzw. Container-File:
losetup -e AES256 /dev/loop0 /dev/md0
Nach dem wir das Passwort EINMAL festgelegt haben hat „losetup“ den Tunnel zwischen Block- und Loop-Device hergestellt. Logischerweiße formatieren wir nun das jeweilige loop-Device:
mkfs.ext3 /dev/loop0
…nach einer gewissen Zeit, die Abhängig von der Größe des Devices ist, sollte die Formatierung auf „ext3“ nun auch fertig sein. Jetzt hängen wir das loop-Device wieder aus:
losetup -d /dev/loop0
Um unser verschlüsseltes Block-Device oder Container-File zu mounten benutzten wir folgenden Befehl:
mount -t ext3 /dev/md0 /media/raid -o loop=/dev/loop0,encryption=AES256
Jeder muss selber entscheiden welche Verschlüsselung er verwenden möchte, für eure Methoden oder Meinung habe ich gerne ein offenes Ohr.
Quellen:
Sicherheitstest: Verschlüsselte Filesysteme unter Linux (2006/10)
Bezüglich Loop-AES sollte man diesen Link beachten
Laufwerke verschlüsseln mit Loop-AES
Loop-AES sucks!!!
DM-Crypt rules!!! 😉
gruss von „Ein paar Türen weiter“ *lol*
Jeder kann selbst entscheiden was er vom Kommentar von „Ein paar Türen weiter“ halten soll und halten kann. Ich denke mir zu mindestens schon an der Schreibweise meinen Teil! 😛
Danke fuer dieses hilfreiche HowTo. Also AES find ich auch noch immer am besten.
Die aktuellen Binaries von losetup haben den -e Parameter nicht mehr. Gibt es eine entsprechende Alternative, bei der man nicht selbst kompilieren muss?