Re: [suse-laptop] Verschlüsselung per USB-Stick
ist es in irgendeiner Art möglich, Linux nur dann korrkt zu starten, wenn man einen USB-Stick mit gültigem Schlüssel eingesteckt hat? Quasi als Dongel? Vorhanden: Normaler erkannter USB-Stick auf USB2.0 und eine SuSE 9.3 auf HP pavilion 3314
Auch nicht viel einfacher zu realisieren aber auch ganz nett: auf den USB-Stick einen GPG-Schlüssel legen, von der initrd "booten" und mit dem key die root-Partition losetup'en. Markus
Am Dienstag, 10. Mai 2005 08:44 schrieb Markus:
ist es in irgendeiner Art möglich, Linux nur dann korrkt zu starten, wenn man einen USB-Stick mit gültigem Schlüssel eingesteckt hat? Quasi als Dongel? Vorhanden: Normaler erkannter USB-Stick auf USB2.0 und eine SuSE 9.3 auf HP pavilion 3314
Auch nicht viel einfacher zu realisieren aber auch ganz nett: auf den USB-Stick einen GPG-Schlüssel legen, von der initrd "booten" und mit dem key die root-Partition losetup'en.
Markus
Ist es nicht möglich, den USB-Stick direkt im BIOS erkennen zulassen? Dann könnte man doch ein mini-linux auf dem USB-Stick installieren (Kernel und Module), welche dann das eigentliche System starten. Dieses kann dann anhand von einer Überprüfungsroutine (z.B. GPG) überprüfen, ob von genau diesem USB-Stick aus das Hauptsystem gestartet wurde. Dazu müßte aber halt der USB bootfähig sein.... Br Dominik Kalisch -- PGP Schlüssel unter: http://www.kalisch.biz/index.php?lang=de&var=person/pgp&inhalt=person
Hi,
Nichts hilft im fall von suspend-to-disk. Swap kann nicht
verschluesselt werden, was bedeutet, dass der Schluessel irgendwo in
swap liegt. Mit z.B. knoppix kann man die swap-partition auslesen und
theoretisch den Schluessel finden.
- vijay
Markus (by way of Markus
ist es in irgendeiner Art möglich, Linux nur dann korrkt zu starten, wenn man einen USB-Stick mit gültigem Schlüssel eingesteckt hat? Quasi als Dongel? Vorhanden: Normaler erkannter USB-Stick auf USB2.0 und eine SuSE 9.3 auf HP pavilion 3314
Auch nicht viel einfacher zu realisieren aber auch ganz nett: auf den USB-Stick einen GPG-Schlüssel legen, von der initrd "booten" und mit dem key die root-Partition losetup'en.
Markus
Hallo Vijay, hallo Leute, Am Dienstag, 10. Mai 2005 19:04 schrieb Vijay Garla:
Nichts hilft im fall von suspend-to-disk. Swap kann nicht verschluesselt werden, was bedeutet, dass der Schluessel irgendwo in swap liegt.
IIRC habe ich mal in einer Mail gelesen, dass auch verschlüsselter Swap möglich ist. Da derjenige allerdings den Swap mit einem Key aus /dev/random initialisiert hat, war an suspend-to-disk nicht zu denken. ("Choose your poison"...) Weiß jemand mehr zum Thema "Swap verschlüsseln"?
Mit z.B. knoppix kann man die swap-partition auslesen und theoretisch den Schluessel finden.
Wenn der Swap nicht verschlüsselt ist, ja. [TOFU gelöscht - schau bitte mal auf http://learn.to/quote vorbei ;-) ] Gruß Christian Boltz -- [geheime Daten 1-2 Stunden täglich für alle lesbar] Wie nennt man so einen Fehler eigentlich? Race condition wäre ja absolut übertrieben... Wie wäre es mit snail condition: Wer zu langsam ist, der bekommt keinen Zugriff *g* [Dirk Pirschel in linux-liste]
Hi Christian! Am Dienstag, 10. Mai 2005 22:46 schrieb Christian Boltz:
[..]
IIRC habe ich mal in einer Mail gelesen, dass auch verschlüsselter Swap möglich ist. Da derjenige allerdings den Swap mit einem Key aus /dev/random initialisiert hat, war an suspend-to-disk nicht zu denken. ("Choose your poison"...)
Weiß jemand mehr zum Thema "Swap verschlüsseln"? [...] Da ich ein sehr paranoider Mensch bin verschlüssel ich meinen swap tatsächlich. Dazu wird nur ein Kernel mit cryptoloop-support benötigt. Achtung: Der Standardkernel von SuSE bietet dies nicht! In /etc/fstab hab dazu das hier eingetragen: /dev/loop1 swap swap pri=42 0 0 loop1 deswegen, weil ich auf loop0 eine Containerdatei liegen habe. Damit der swap bei Systemstart auch initialisiert wird hab ich /etc/init.d/boot.swap etwas geändert:
Der start-Teil [...] echo "Activating remaining swap-devices in /etc/fstab..." #swapon -a &> /dev/null #Mit dd wird ein Zufallspasswort erzeugt. #Danach wird dieses Password fuer losetup verwendet und dann damit der #swap verschluesselt. /bin/dd if=/dev/random bs=1b count=999 | /sbin/losetup -e aes256 -p 0 /dev/loop1 /dev/hda2 #Jetzt wird auf dem verschluesselten device der swap erzeugt. /sbin/mkswap /dev/loop1 #Und letztendlich aktiviert. /sbin/swapon -a rc_status -v1 -r ;; stop) echo "Turning off swap" sync ; sync rc_reset #Der swap wird abgeschaltet. swapoff -a &> /dev/null #Und das loop-Device abgemeldet. /sbin/losetup -d /dev/loop1 #Und nun wird auf /dev/hda2 wieder ein ganz normaler swap erzeugt. mkswap /dev/hda2 & > /dev/null [...] Und der stop-Teil #Der swap wird abgeschaltet. swapoff -a &> /dev/null #Und das loop-Device abgemeldet. /sbin/losetup -d /dev/loop1 #Und nun wird auf /dev/hda2 wieder ein ganz normaler swap erzeugt. mkswap /dev/hda2 & > /dev/null [...] Indem ich einen normalen swap beim abschalten erzeuge verhindere ich, dass ein Kernel ohne cryptoloop-support einen Fehler meldet. Beim Systemstart kann es dann allerdings vorkommen, dass das System scheinbar nach "Activating remaining swap-devices in /etc/fstab..." hängen bleibt, aber es wartet tatsächlich nur auf neue Zufallsdaten. Es reicht, wenn man dann ein wenig auf den Tasten klimpert und es geht weiter. Alternativ kann man auch den count-Wert verringern, aber... Die ganz wichtigen Sachen kommen dann mit gpg verschlüsselt in die Containerdatei gelegt. So kann ich die Geheimdienste dieser Welt wenigsten um ein paar Minuten aufhalten. ;-) Tobias -- GPG-Fingerprint: C39E 5381 7721 8613 B5C9 CFAF 54FC B8DB D02D 7085 Registered Linux-User #367044 Registered Linux-Machine #262062 http://counter.li.org Diese E-Mail wurde mit einer fortgeschrittenen elektronischen Signatur nach §2 2. d) SigG signiert.
participants (5)
-
Christian Boltz
-
Dominik P.H. Kalisch
-
Markus
-
Tobias Hirning
-
Vijay Garla