Forum: PC Hard- und Software Xubuntu Festplattenverschlüsselung


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Dennis S. (eltio)


Bewertung
0 lesenswert
nicht lesenswert
Hallo zusammen,

bei der Installation von Xubuntu kann man die Option 
"Festplattenverschlüsselung" aktivieren, mit der Folge, dass ziemlich 
zügig nach dem Start ein Kennwort verlangt wird. "Leider" ist meine 
letzte Installation schon etwas länger her, so dass ich nicht genau weiß 
wonach ich suchen muss.

Meine Frage: was genau passiert nach der Eingabe des Kennworts? Es kann 
ja nicht sein, dass die komplette Festplatte entschlüsselt wird, weil 
der Start dann ein paar Tage länger dauern würde....

Gruß
Dennis

von Linksammler (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dennis S. schrieb:
> Es kann
> ja nicht sein, dass die komplette Festplatte entschlüsselt wird

Nein. Linux merkt sich den Schlüssel (den es aus/anhand des Passworts 
erhält) und entschlüsselt on-the-fly nur die Datenblöcke, auf die gerade 
zugegriffen wird.
Geht auf modernen CPUs (AES-NI) ohne großen Geschwindigkeitsverlust.

Bei ecryptfs ("Home-Verzeichnis-Verschlüsselung" statt 
"System-Verschlüsselung") ist es ähnlich, nur auf Datei- statt auf 
Blockebene.

von Axel S. (a-za-z0-9)


Bewertung
0 lesenswert
nicht lesenswert
Dennis S. schrieb:

> bei der Installation von Xubuntu kann man die Option
> "Festplattenverschlüsselung" aktivieren, mit der Folge, dass ziemlich
> zügig nach dem Start ein Kennwort verlangt wird.

Die Festplattenverschlüsselung von Ubuntu verwendet ziemlich sicher 
einen Kryptocontainer nach dem LUKS Standard.

> Meine Frage: was genau passiert nach der Eingabe des Kennworts? Es kann
> ja nicht sein, dass die komplette Festplatte entschlüsselt wird

Natürlich nicht. Es werden immer nur die Blöcke der Festplatte (genauer: 
des Krypto-Containers) entschlüsselt, auf die gerade zugegriffen wird.

Technisch ist das um einiges komplizierter. Zum einen ist das Medium 
nicht mit der von dir eingetippten Pass-Phrase verschlüsselt. Statt 
dessen wird beim Erzeugen des Krypto-Containers ein (langer!) Schlüssel 
per Zufallsgenerator erzeugt und am Anfang des Containers wird dieser 
Schlüssel mit deinem Zugangsschlüssel verschlüsselt abgelegt.

Dieser Ansatz hat den Vorteil, daß man den gleichen Medien-Schlüssel mit 
bis zu 8 Nutzerschlüsseln in den 8 Key-Slots des LUKS-Containers ablegen 
kann. Es gibt dann bis zu 8 verschiedene Pass-Phrasen, die den gleichen 
Container aufsperren (z.B. eine für dich, eine für deinen Chef, eine im 
verschlossenen Kuvert beim Firmen-Anwalt, etc.).

Der zweite Vorteil ist, daß man zum ungültigmachen eines Zugangscodes 
einfach nur den zugehörigen Slot überschreiben muß und nicht das ganze 
Medium. Außerdem trifft LUKS auch noch Maßnahmen gegen die Eigenheit 
moderner Festplatten, als defekt erkannte Sektoren stillschweigend durch 
Reservesektoren zu ersetzen. Das würde z.B. dann zum Tragen kommen, wenn 
beim Ausnullen eines Keyslots der Sektor als defekt erkannt würde. Dann 
würden die Nullen in einen Ersatzsektor geschrieben und der 
ursprüngliche Sektor bliebe erhalten.

Außerdem wird nicht jeder Festplatten-Block direkt mit dem Medien- 
schlüssel verschlüsselt, sondern es wird für jeden Block ein eigener 
Schlüssel aus dem Medienschlüssel abgeleitet. Heutzutage meist mit dem 
XTS-Algorithmus (https://en.wikipedia.org/wiki/Disk_encryption_theory)

von Dennis S. (eltio)


Bewertung
0 lesenswert
nicht lesenswert
Tolle Antworten, vielen Dank schon mal dafür! Dann weiß ich jetzt auch 
wo ich weiterlesen kann. :-)

Gruß
Dennis

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.