Kommentare zu: DVDs verschlüsseln

Von: sascha

sascha — Tue, 13 Jan 2009 16:22:40 +0000

Die Anleitung von Syncmaster hat wunderbar funktioniert. Neugierig habe ich ausprobiert, ob es auch _direkt_ geht.

Ich habe also hier eine Aldi DVD+RW Scheibe.

Mein LG DVD-RW ist /dev/hdb.

# cryptsetup -c aes -s 256 luksFormat /dev/hdb
(geht, beim LG blinkts)
# cryptsetup luksOpen /dev/hdb dvd
# mkudffs –media-type=dvd /dev/mapper/dvd
(geht auch, LG blinkt wieder)
# mount /dev/mapper/dvd /mnt/work/
# mount -oremount,rw /dev/mapper/dvd
# touch /mnt/work/file
(LG blinkt wieder)
# ls /mnt/work
file lost+found
(geht also!)
# rm /mnt/work/file

Mit dem midnight commander schreibe ich da gerade 3.4 GB Daten drauf. Scheint zu funktionieren, packetwriting ist btw. _nicht_ im Kernel integriert. Die Schreibgeschwindigkeit liegt gerade bei vernünftig scheinenenden 3,17 MB/s. Hört sich nur nicht so gesund an, der Schreibkopf scheint sich immer wieder neu zu positionieren und der Motor dreht immer wieder auf.

So, fertig, wieder umounten, cryptsetup entmappen, auswerfen um sicher zu gehen, wieder einlegen, cryptsetup mappen, mounten, als Test ein diff draufwerfen: Cool, Quell u. Zieldateien sind identisch!

Ich frage mich bloss, woran die Desktopintegration scheitert…

Von: Karl

Karl — Mon, 21 Jan 2008 19:02:43 +0000

Kleiner Nachtrag:
UDF ging bei mir nicht, war aber wg. vorheriger schlechter Erfahung mit udftools von gutsy nicht überrascht. ext2 image file in iso erschien mir trotzdem unnötig, und hier ist was ich gemacht habe und was für mich funktioniert:

Nach diesem Schritt:
cryptsetup luksOpen /dev/loop0 foo

Mache ich:
genisoimage -o foo.iso -r daten/

Dann habe ich 2 image dateien rumliegen, aber das bleibt nicht so, denn:
dd if=foo.iso of=/dev/mapper/foo bs=1M

Damit wird das unverschlüsselte iso image verschlüsselt auf das luks device geschrieben.
Dann noch:
growisofs -dvd-compat -speed=2 -Z/dev/sdc0=foo.img

et voila!
Wichtig: Nicht foo.iso brennen, sondern foo.img.
Damit erkennt mein Gnome sogar, beim Einlegen, dass hier eine Passphrase fällig ist. Im GUI funzt das bei mir aber nicht. Auf der Kommandzeile funktioniert es wunderbar.

Karl.

Von: Lawlita

Lawlita — Mon, 10 Sep 2007 22:44:00 +0000

Ich bin auch am herumprobieren mit LUKS, allerdings mit einer LUKS-CD. Und das funktioniert partout nicht (ohne ISO-Zwischenschicht).

Bereits Cryptsetup weigert sich, den mit

cdrecord dev=1,0,0 driveropts=burnfree -dao -v cdcrypt.img

direkt auf CD getoasteten Container zu öffnen, und kapituliert mit

device-mapper: reload ioctl failed: Invalid argument

Der Versuch, Cryptsetup mittels -b 2048 eine andere Blocksize beim formatieren mitzugeben, funktioniert zwar, nach dem Brennen weigert sich cryptsetup aber erneut zu mounten; diesmal macht es einfach gar nichts.

Was habt ihr anders gemacht, dass bei euch cryptsetup nicht meckert?

Grüße,
Lawlita

Von: Syncmaster

Syncmaster — Mon, 03 Sep 2007 14:50:46 +0000

Nachtrag zu UDF: Max. Dateigröße je nach Kernel nur 1GB

Laut
http://lkml.org/lkml/2006/9/3/43
scheint die Dateigröße zur Zeit bei vielen 2.6er Kernels leider auf 1GB beschränkt zu sein (Genauer: zwischen 2.6.17 and 2.6.21).
Ich habe zwar einen älteren Kernel als 2.6.17 im Einsatz, aber irgendwie funktionierts trotzdem nicht (auch mit anderen Werten des media-type Parameters: hd, worm… )

Irgendwelche Ideen woran es liegen könnte? Formatieren mit Ext2 klappt bei mir nicht…
Grüße
Syncmaster

Von: Syncmaster

Syncmaster — Sun, 02 Sep 2007 17:16:08 +0000

Zum Thema Dateisystem empfehle ich die Verwendung von UDF, dann klappt es auch mit der vollen Kapazität der LUKS-DVD:

Image und LUKS-Volume erzeugen:
dd if=/dev/zero of=/dvd.img bs=1000k count 4700
losetup /dev/loop0 dvd.img
cryptsetup -c aes-cbc-essiv_sha256 -y -s 256 luksFormat /dev/loop0

LUKS-Volume öffnen und Dateisystem erzeugen:
cryptsetup luksOpen /dev/loop0 dvd
mkudffs –media-type=dvd /dev/mapper/dvd

Jetzt mounten, mit den Dateien füllen, umounten, cryptsetup luksClose dvd aufrufen und Loopdevice mit losetup -d /dev/loop0 entfernen.
Die Image-Datei habe ich mit k3b auf eine DVD+R gebrannt.

Später lässt sich die LUKS-DVD ganz einfach wie eine Partition einbinden:
cryptsetup –readonly luksOpen /dev/hdd dvd (wobei /dev/hdd das dvd-Laufwerk ist)
mount -r -t udf /dev/mapper/dvd /mnt/dvdimage
Zum mounten und umounten habe ich mir 2 Scripte geschrieben und diese nach /usr/local/bin gespeichert.

Viel Spaß mit dieser Lösung. Viele Grüße
Syncmaster

Von: creeper

creeper — Sun, 29 Apr 2007 17:48:28 +0000

Gerade in der loop-aes readme gefunden (http://loop-aes.sourceforge.net/loop-AES.README):
———
2.5. File system soft block sizes
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
If you intend to move encrypted file system to some other device (CD-ROM for
example), be sure to create file system with soft block size that is integer
multiple of device hard sector size. CD-ROMs have 2048 byte sectors. File
system with 1024 byte soft block size is not going to work with all CD-ROM
drives and/or drivers.
————
loop-aes ist übrigens unter linux meine erste Wahl für Verschlüsselung. Für Windows gibt’s TrueCrypt.

Von: Simon

Simon — Thu, 26 Apr 2007 14:44:48 +0000

TrueCrypt ist sehr komfortabel unter Windows. Die CLI-Version für Linux habe ich aber noch nicht ausprobiert.

Von: Tareen

Tareen — Thu, 26 Apr 2007 07:05:14 +0000

Naja, Linux ist nicht wirklich mein Fachgebiet, daher kann ich nur sagen wie ich bei Windoofs etwas wirklich sicher verschlüsseln würde:
DriveCrypt von Securestar. Glaubt mir, das Zeug ist wirklich hart. Die Container ohne den richtigen Code zu knacken nicht wirklich machbar, selbst Behörden haben da ihre Probleme wenn sie an Material wollen.
Außerdem gibt Securestar sogar damit an, das es noch niemand geschafft hat sie zu knacken udn haben sogar ein Preisgeld darauf ausgegeben von irgendwas mit 100.000 $ USD.

Ist auch ne Alternative.

Von: sur5r

sur5r — Wed, 25 Apr 2007 20:19:03 +0000

Das blocksize-Problem kommt wahrscheinlich daher, daß CDs/DVDs mit 2048 Byte großen Sektoren arbeiten. ext2 verwendet normalerweise aber 1024 Byte Blocks, deswegen tut das nicht. Kurzer Test bei mir hat grad ergeben: “mke2fs -b 2048″ hilft.

Grüße,
sur5r

Von: schiermi

schiermi — Mon, 23 Apr 2007 08:24:09 +0000

Vor ein paar Tagen bei Koehntopp gefunden: http://blog.koehntopp.de/archives/1653-Encfs.html – sieht ganz praktisch aus habs aber noch nicht selbst getestet.

Von: codec

codec — Sun, 22 Apr 2007 18:57:46 +0000

Schau dir das doch einfach mal an: http://de.gentoo-wiki.com/CD_Encryption_aespipe
(die Idee ist zwar nett, aber irgendwie overkill ;))

Von: MichiK

MichiK — Sun, 22 Apr 2007 10:59:28 +0000

Ja, die ISO-Zwischenschicht ist nervig, aber wie gesagt, nur ein hässlicher Workaround. Ich kann das Dateisystem auch direkt brennen, da kann ich dann sogar `e2fsck` drüber rennen lassen, das sagt auch, alles wäre ok. Aber mounten kann ichs nicht. Warum auch immer… wäre schön, wenn mich da jemand aufklären könnte.

Ich werde demnächst mal mit anderen Dateisystemen experimentieren, vielleicht finde ich was, das man dann auch direkt von DVD mounten kann. Solange es nicht FAT oder so sein muss, nehm ich gerne alles. ;)

Von: dead_orc

dead_orc — Sun, 22 Apr 2007 10:27:15 +0000

In der Tat, auch wenn ich eh nur selten Backups mache ;)
Die extra Schicht, die durch ISO entsteht, ist wirklich ärgerlich. Vielleicht probier ich noch damit rum (sobald ich genug mit Ubuntu 7.04 rumgespielt hab :P)

jchome: Besser als Windows als Betriebssystem zu bezeichnen ;)

Von: jchome

jchome — Sun, 22 Apr 2007 09:59:01 +0000

Ubuntu als ein vernuenftiges System bezeichnen… *shrug*
Naja, die Idee mit LUKS find ich klasse.. hab ich noch gar nicht drueber nachgedacht.. echt klasse.. :-)

Von: Drezil

Drezil — Sun, 22 Apr 2007 09:08:41 +0000

jop. die idee ist gut.

ich wollte ohnehin schon meine daten sicher backuppen ..
im moment liegt alles unsicher (=unverschlüsselt) auf der platte.. mit dem neuen pc in ein paar tagen kommt ein vernünftiges betriebssystem (ich denke ubuntu 7.04) mit festplattenverschlüsselung.

aber ansonsten: danke für die detaillierte anleitung ;)