öffnen Tags

öffnen Kategorien

Vom WebReader vorlesen lassen

Paranoia en masse - Datenverschlüsselung für CDU-Geschädigte

31. Aug 2009, 01:52

Nicht nur die fefe-Fans wissen, wie massiv die Politik nach den persönlichen Daten strebt.
Immer wieder werden lächerliche Gründe gefunden um an private Informationen zu gelangen, oder einfach Gegner aus dem Spiel zu bannen.

Ich habe mir in der letzten Woche zwei neue Platten mit jeweils einem Terabyte Platz von Mix besorgt. Heute habe ich sie dann mit dem Sun-Campus-Ambassador meines Vertrauens (Micha) verbaut.

Da die Platten noch leer waren, bot sich die Gelegenheit für Experimente. Nach den üblichen Versuchsreihen kamen wir ins Grübeln, was man denn sicherheitsspezifisch unternehmen könnte um einem Ausspähen vorzubeugen. Nach einigen Überlegungen hatten wir es! Wir erstellen ein paar Dateien auf den Platten, binden diese zu einem LVM zusammen und packen ein verschlüsseltes ext drauf. Gesagt getan. Wie? Folgt!

Da das ganze natürlich nur zum Testen dient, sind die Dimensionen entsprechend klein gehalten. Wir haben auf einer Platte ein ext3 erstellt und diese nach /mnt/crypt-dev gemountet. Zu Beginn benötigen wir die Dateien, diese werden einfach per dd erzeugt:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
abakus /mnt/crypt-dev # for i in `seq 1 5`; do dd if=/dev/zero of=safe.$i bs=1M count=50; done
50+0 records in
50+0 records out
52428800 bytes (52 MB) copied, 0.235608 s, 223 MB/s
[...]
abakus /mnt/crypt-dev # l
total 251M
drwxr-xr-x 3 root root 4.0K 2009-08-31 03:02 .
drwxr-xr-x 7 root root 4.0K 2009-08-30 20:37 ..
drwx------ 2 root root 16K 2009-08-30 19:46 lost+found
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.1
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.2
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.3
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.4
-rw-r--r-- 1 root root 50M 2009-08-31 03:02 safe.5

Damit haben wir 250 MB Platz. Nun müssen diese "Dateien" als Devices eingebunden werden, wir tun dies per losetup:

1
for i in `seq 1 5`; do losetup /dev/loop$i /mnt/crypt-dev/safe.$i; done

Die fünf Volumes müssen jetzt als ein einziges Logical Volume zusammengefasst werden, damit können wir dann auch Files speichern, die unsere 50MB Grenze überschreiten:

1
2
3
4
5
6
7
8
9
10
abakus /mnt/crypt-dev # pvcreate /dev/loop{1,2,3,4,5}
Physical volume "/dev/loop1" successfully created
[...]
abakus /mnt/crypt-dev # vgcreate vg0 /dev/loop{1,2,3,4,5}
Volume group "vg0" successfully created
abakus /mnt/crypt-dev # vgscan
Reading all physical volumes. This may take a while...
Found volume group "vg0" using metadata type lvm2
abakus /mnt/crypt-dev # lvcreate --size 200M --name lvopt vg0
Logical volume "lvopt" created

Super! Damit existiert nun ein neues 200MB-Device in /dev/vg0/lvopt. Dieses gilt es nun zu verschlüsseln, unsere Entscheidung fiel auf twofish:

1
2
3
abakus /mnt/crypt-dev # cryptsetup -y create datensafe /dev/vg0/lvopt
Enter passphrase:
Verify passphrase:

Nachdem wir ein Passwort vergeben haben können wir ein ext4dev (testing eben) drüber bügeln und es wie gewohnt mounten:

1
2
3
4
5
6
7
8
9
abakus /mnt/crypt-dev # mkfs.ext4dev /dev/mapper/datensafe
mke2fs 1.41.9 (22-Aug-2009)
[...]
abakus /mnt/crypt-dev # mount -t ext4 /dev/mapper/datensafe /mnt/mountain/
abakus /mnt/crypt-dev # l ../mountain/
total 17K
drwxr-xr-x 3 root root 1.0K 2009-08-31 03:20 .
drwxr-xr-x 8 root root 4.0K 2009-08-31 03:21 ..
drwx------ 2 root root 12K 2009-08-31 03:20 lost+found

Perfekt, ein kleiner Test beweist die Richtigkeit:

1
2
3
4
abakus /mnt/crypt-dev # cat /dev/zero >> /mnt/mountain/test
cat: write error: No space left on device
abakus /mnt/crypt-dev # df -h
/dev/mapper/datensafe 194M 194M 0 100% /mnt/mountain

Damit ist LVM bestätigt, weiter:

1
2
3
4
5
abakus /mnt/crypt-dev # umount /mnt/mountain/
abakus /mnt/crypt-dev # cryptsetup remove datensafe
abakus /mnt/crypt-dev # less /dev/vg0/lvopt
/dev/vg0/lvopt is not a regular file (use -f to see it)
abakus /mnt/crypt-dev # less -f /dev/vg0/lvopt

Und nun sehen wir dass alles verschlüsselt ist.
Wer also so richtig paranoid ist, kann seinen verschlüsselten Speicherplatz gut über das System verteilen, keiner sagt dass alle Dateien gleich groß sein müssen... Damit ist es nahezu unmöglich die gespeicherten Informationen wieder herzustellen, auch wenn jemand eine Möglichkeit findet die Daten zurück zu rechnen. Sollen Herr Schäuble und Frau Zensursula ruhig neue Vorwände finden, an diesen persönlichen Daten beißen sie sich die Zähne aus!

Im Endeffekt wurden natürlich einfach nur die Devices verschlüsselt, denn glücklicher Weise leide ich noch nicht zu sehr an derartigem Verfolgungswahn und steh eher auf Performance. Die Daten die ich verschlüsseln möchte sind auch ausschließlich privat, nicht illegal liebes BKA ;-)

Tags: Debian Hardware Kryptographie Security Software

Kategorien: Hardware Sicherheit Software

© 2009-2018 by Martin Scharm