Hallo zusammen, bei der Installation von Xubuntu kann man die Option "Festplattenverschlüsselung" aktivieren, mit der Folge, dass ziemlich zügig nach dem Start ein Kennwort verlangt wird. "Leider" ist meine letzte Installation schon etwas länger her, so dass ich nicht genau weiß wonach ich suchen muss. Meine Frage: was genau passiert nach der Eingabe des Kennworts? Es kann ja nicht sein, dass die komplette Festplatte entschlüsselt wird, weil der Start dann ein paar Tage länger dauern würde.... Gruß Dennis
Dennis S. schrieb: > Es kann > ja nicht sein, dass die komplette Festplatte entschlüsselt wird Nein. Linux merkt sich den Schlüssel (den es aus/anhand des Passworts erhält) und entschlüsselt on-the-fly nur die Datenblöcke, auf die gerade zugegriffen wird. Geht auf modernen CPUs (AES-NI) ohne großen Geschwindigkeitsverlust. Bei ecryptfs ("Home-Verzeichnis-Verschlüsselung" statt "System-Verschlüsselung") ist es ähnlich, nur auf Datei- statt auf Blockebene.
Dennis S. schrieb: > bei der Installation von Xubuntu kann man die Option > "Festplattenverschlüsselung" aktivieren, mit der Folge, dass ziemlich > zügig nach dem Start ein Kennwort verlangt wird. Die Festplattenverschlüsselung von Ubuntu verwendet ziemlich sicher einen Kryptocontainer nach dem LUKS Standard. > Meine Frage: was genau passiert nach der Eingabe des Kennworts? Es kann > ja nicht sein, dass die komplette Festplatte entschlüsselt wird Natürlich nicht. Es werden immer nur die Blöcke der Festplatte (genauer: des Krypto-Containers) entschlüsselt, auf die gerade zugegriffen wird. Technisch ist das um einiges komplizierter. Zum einen ist das Medium nicht mit der von dir eingetippten Pass-Phrase verschlüsselt. Statt dessen wird beim Erzeugen des Krypto-Containers ein (langer!) Schlüssel per Zufallsgenerator erzeugt und am Anfang des Containers wird dieser Schlüssel mit deinem Zugangsschlüssel verschlüsselt abgelegt. Dieser Ansatz hat den Vorteil, daß man den gleichen Medien-Schlüssel mit bis zu 8 Nutzerschlüsseln in den 8 Key-Slots des LUKS-Containers ablegen kann. Es gibt dann bis zu 8 verschiedene Pass-Phrasen, die den gleichen Container aufsperren (z.B. eine für dich, eine für deinen Chef, eine im verschlossenen Kuvert beim Firmen-Anwalt, etc.). Der zweite Vorteil ist, daß man zum ungültigmachen eines Zugangscodes einfach nur den zugehörigen Slot überschreiben muß und nicht das ganze Medium. Außerdem trifft LUKS auch noch Maßnahmen gegen die Eigenheit moderner Festplatten, als defekt erkannte Sektoren stillschweigend durch Reservesektoren zu ersetzen. Das würde z.B. dann zum Tragen kommen, wenn beim Ausnullen eines Keyslots der Sektor als defekt erkannt würde. Dann würden die Nullen in einen Ersatzsektor geschrieben und der ursprüngliche Sektor bliebe erhalten. Außerdem wird nicht jeder Festplatten-Block direkt mit dem Medien- schlüssel verschlüsselt, sondern es wird für jeden Block ein eigener Schlüssel aus dem Medienschlüssel abgeleitet. Heutzutage meist mit dem XTS-Algorithmus (https://en.wikipedia.org/wiki/Disk_encryption_theory)
Tolle Antworten, vielen Dank schon mal dafür! Dann weiß ich jetzt auch wo ich weiterlesen kann. :-) Gruß Dennis
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.