RSS-Feed
Paranoia en masse - Datenverschlüsselung für CDU-Geschädigte
31. Aug 2009, 01:52
Nicht nur die fefe-Fans wissen, wie massiv die Politik nach den persönlichen Daten strebt.
Immer wieder werden lächerliche Gründe gefunden um an private Informationen zu gelangen, oder einfach Gegner aus dem Spiel zu bannen.
Ich habe mir in der letzten Woche zwei neue Platten mit jeweils einem Terabyte Platz von Mix besorgt. Heute habe ich sie dann mit dem Sun-Campus-Ambassador meines Vertrauens (Micha) verbaut.
Da die Platten noch leer waren, bot sich die Gelegenheit für Experimente. Nach den üblichen Versuchsreihen kamen wir ins Grübeln, was man denn sicherheitsspezifisch unternehmen könnte um einem Ausspähen vorzubeugen. Nach einigen Überlegungen hatten wir es! Wir erstellen ein paar Dateien auf den Platten, binden diese zu einem LVM zusammen und packen ein verschlüsseltes ext drauf. Gesagt getan. Wie? Folgt!
Da das ganze natürlich nur zum Testen dient, sind die Dimensionen entsprechend klein gehalten. Wir haben auf einer Platte ein ext3 erstellt und diese nach /mnt/crypt-dev gemountet. Zu Beginn benötigen wir die Dateien, diese werden einfach per dd erzeugt:
2
3
4
5
6
7
8
9
10
11
12
13
14
15
50+0 records in
50+0 records out
52428800 bytes (52 MB) copied, 0.235608 s, 223 MB/s
[...]
abakus /mnt/crypt-dev # l
total 251M
drwxr-xr-x 3 root root 4.0K 2009-08-31 03:02 .
drwxr-xr-x 7 root root 4.0K 2009-08-30 20:37 ..
drwx------ 2 root root 16K 2009-08-30 19:46 lost+found
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.1
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.2
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.3
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.4
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.5
Damit haben wir 250 MB Platz. Nun müssen diese "Dateien" als Devices eingebunden werden, wir tun dies per losetup:
Die fünf Volumes müssen jetzt als ein einziges Logical Volume zusammengefasst werden, damit können wir dann auch Files speichern, die unsere 50MB Grenze überschreiten:
2
3
4
5
6
7
8
9
10
Physical volume "/dev/loop1" successfully created
[...]
abakus /mnt/crypt-dev # vgcreate vg0 /dev/loop{1,2,3,4,5}
Volume group "vg0" successfully created
abakus /mnt/crypt-dev # vgscan
Reading all physical volumes. This may take a while...
Found volume group "vg0" using metadata type lvm2
abakus /mnt/crypt-dev # lvcreate --size 200M --name lvopt vg0
Logical volume "lvopt" created
Super! Damit existiert nun ein neues 200MB-Device in /dev/vg0/lvopt. Dieses gilt es nun zu verschlüsseln, unsere Entscheidung fiel auf twofish:
2
3
Enter passphrase:
Verify passphrase:
Nachdem wir ein Passwort vergeben haben können wir ein ext4dev (testing eben) drüber bügeln und es wie gewohnt mounten:
2
3
4
5
6
7
8
9
mke2fs 1.41.9 (22-Aug-2009)
[...]
abakus /mnt/crypt-dev # mount -t ext4 /dev/mapper/datensafe /mnt/mountain/
abakus /mnt/crypt-dev # l ../mountain/
total 17K
drwxr-xr-x 3 root root 1.0K 2009-08-31 03:20 .
drwxr-xr-x 8 root root 4.0K 2009-08-31 03:21 ..
drwx------ 2 root root 12K 2009-08-31 03:20 lost+found
Perfekt, ein kleiner Test beweist die Richtigkeit:
2
3
4
cat: write error: No space left on device
abakus /mnt/crypt-dev # df -h
/dev/mapper/datensafe 194M 194M 0 100% /mnt/mountain
Damit ist LVM bestätigt, weiter:
2
3
4
5
abakus /mnt/crypt-dev # cryptsetup remove datensafe
abakus /mnt/crypt-dev # less /dev/vg0/lvopt
/dev/vg0/lvopt is not a regular file (use -f to see it)
abakus /mnt/crypt-dev # less -f /dev/vg0/lvopt
Und nun sehen wir dass alles verschlüsselt ist.
Wer also so richtig paranoid ist, kann seinen verschlüsselten Speicherplatz gut über das System verteilen, keiner sagt dass alle Dateien gleich groß sein müssen... Damit ist es nahezu unmöglich die gespeicherten Informationen wieder herzustellen, auch wenn jemand eine Möglichkeit findet die Daten zurück zu rechnen. Sollen Herr Schäuble und Frau Zensursula ruhig neue Vorwände finden, an diesen persönlichen Daten beißen sie sich die Zähne aus!
Im Endeffekt wurden natürlich einfach nur die Devices verschlüsselt, denn glücklicher Weise leide ich noch nicht zu sehr an derartigem Verfolgungswahn und steh eher auf Performance. Die Daten die ich verschlüsseln möchte sind auch ausschließlich privat, nicht illegal liebes BKA ;-)
Kategorien: Hardware Sicherheit Software