In der Tat, sehr lesenswerte Anregungen. Allerdings würde ich mir eine kleine Ergänzung um cryptoloop wünschen, womit man dann auf Wunsch auch ein ganzes Homeverzeichnis beim Login mounten könnte. Grob skizziert legt man erst einmal ein verschlüsseltes Image an:
Soweit habe ich mir das mal zusammengesucht, jetzt müsste ich es noch so einrichten, dass es beim Login eines entsprechenden Users automatisch als dessen Homeverzeichnis eingebunden und beim Logout entsprechend gelöst wird. Ein entsprechender Pro-Linuxartikel oder eine Erweiterung dieses Artikels wäre natürlich ein Traum.
Außerdem würden mich natürlich brennend eine Abwägung der Vorzüge und Nachteile von cryptoloop im Verhältnis zu cryptkeeper interessieren.
Wie sieht's bei der Verschlüsselung von Mails aus? Kennt jemand z. B. ein Skript, das alle Mails eines Maildir per GPG verschlüsselt, damit man das ganze sorglos bei einem IMAP-Anbieter abladen kann?
Für einfache Textmails ist das kein großer Aufwand, aber für MIME-Mails schreibt man das mit bash+gpg wohl nicht so einfach runter...
Eigentlich müsste es sowas schon geben, aber gefunden habe ich bisher nichts passendes, bis evtl. auf topine ("...offers facilities to encrypt, decrypt, sign, and verify messages...") - das könnte funktionieren!
Der Artikel lenkt den Blick ja in die richtige Richtung, aber IMHO kann man hierbei den Aspekt der Datensicherung nicht außen vor lassen. Gerade Daten die so wichtig sind, dass man sie verschlüsselt, sollten sicher regelmäßig gesichert werden. Aber wie macht man das ohne dass die Daten auf dem Sicherungsdatenträger entschlüsselt sind?
Da hab ich kürzlich ein praktisches Tool entdeckt. Es nennt sich DeJa-Dup und ist das optimale Backup-Ttool für den Desktop-Rechner. Ist auch in den Ubuntu Paketquellen zu finden. Verschlüsselte, regelmäßige Backups entweder in ein Verzeichnis (d.h. auch auf externe Laufwerke), oder Online möglich. https://launchpad.net/deja-dup
In dem man das ganze verschlüsselte Image sichert. Es ist ja nicht Sinn und Zweck einer Verschlüsselung das anschließend die Dateien unverschlüsselt im Backup liegen. Es gibt natürlich auch Backup Programme die ihre Daten verschlüsselt übertragen, somit bleibt aber das Backup unverschlüsselt auf dem Backup Server. Dort hat dann wenigstens der Backup Administrator Zugriff auf die Daten was ja, wenn es sich z.B. um die Gehaltsinformationen der Kollegen handelt, nicht unbedingt gewünscht ist.
Bei Privatanwendern würde ich schlicht die Backup-Platte vollverschlüsseln, habe ich zu Hause mit cryptsetup/LUKS gemacht. Die Platten werden per skript ein- und ausgehängt. Klappt wunderbar. Haut natürlich ein wenig auf die Geschwindigkeit, aber das ist mir wurst. Dafür sind alle Daten sicher verschlüsselt ...
Ich hätte noch ecryptfs aufgenommen. Das ist bei Ubuntu vorinstalliert und ermöglicht das bequeme verschlüsseln des gesamten Home automatisch bei der Installation.
Einzelne Ordner lassen sich auch verschlüsseln.
Mit Luks kann man auch komplette Datenträger verschlüsseln. Unterstützung ist in Nautilus eingebaut, d.h. man wird bein Ein- und Aushängen automatisch nach den Passwort gefragt.
Schon ein cooles Tool. Hatte damals auch Probleme eine vernünftige Lösung zu finden. Bin allerdings dazu übergangen einfach eine VM für sowas zu machen. Wenn man darin Ubuntu 9.10 installiert, hat man sogar auch direkt Dateiverschlüsslung. Besonderer Vorteil der VM-Lösung: Wer versteckte Dateien benutzt, bearbeitet etc., hinterlässt ja ungewollt auch an anderer Stelle Spuren. Darauf muss man bei der VM nicht aufpassen... Hinzukommt, dass Backups ein Kinderspiel sind. Zumindest im Fall von VMWare.
Das interessiert mich schon lang, inwieweit respektiert Gnome eigentlich meine Privatssphäre?
Soll heißen, spätestens wenn ich ein verschlüsseltes Homeverzeichnis nutze, kann ich davon ausgehen, dass (außer im Swap versteht sich) keine temporären Dateien oder sonstwas außerhalb des Homeverzeichnisses geschrieben werden (/tmp und /var kommen mir da in den Sinn)?
Neben SWAP werden User-Daten unter Linux auch nach /tmp/ und /var/ gespeichert.
Eine VMware schürtzt vor einblicken. Ab der version 7 steht hier auch eine interne Crypt-methode zu Verfügung. Wenn die Images dann nochj zusätzlich auf ein Verschluesseltes Laufwerk geelgt werden sollten die Daten sicher sein.
Man sollte aber über ausreichend Ram verfügen, und die SWAP ganz absschalten, oder diese ebenfalls verschlüsseln. Auch sollter man Task-Vorschaubilder deaktivieren - ich bin mir nicht sicher ob diese nicht auch temporaer zwischengespeichert werden.
Alternativ kann man sich dein Host-System natuerlich auch komplett verschlüsseln
>>> Neben SWAP werden User-Daten unter Linux auch nach /tmp/ und /var/ gespeichert.
I consider this a bug!
Gibt es schon einen Bugreport? Dass ich mich um Swap selbst kümmern muss ist klar, aber Gnome(-Anwendungen) sollten es tunlichst vermeiden, bei vorliegender Verschlüsselung sensible Daten noch irgendwohin außerhalb des verschlüsselren Homeverzeichnisses zu schreiben.
Hmm das ist eigentlich kein Bug. Die Sache ist, dass im /var- und im /tmp-Verzeichnis laufend Zeug reingeschrieben wird. Alleine die ganzen Sockets, die in /tmp und /var/run laufen. (Gib mal in der Konsole netstat ein.) Wenn du wirklich high security willst, solltest du 1. kein (normales) Linux benutzen und 2. verstehen, was vor sich geht.
Letztendlich kannst du das ja mehr oder weniger kontrollieren, indem du guckst, welche Rechte, auf welchem Verzeichnis gegeben sind. Und nicht zu vergessen, dass der X-Server üblicherweise mit Rootrechten läuft.
Von TrueCrypter am Fr, 12. Februar 2010 um 14:03 #
... so kann man seine Privaten Daten auf jedem! Betriebsystem verwenden und die verschlüsselte dateien (nicht als Partition) kann man auch wunderbar auf einem USB Stick speichern. Falls dann doch die Freundin wissen will was in "meine-große-liebe.tc" drin ist gibt man das alternativ passwort ein und schwubs sieht sie nur ihre fotos.
Bereits mein Großvater hat bei der Auswahl meiner Oma darauf geachtet, dass das Mädel untenrum liberal und obenrum geradlinig ist. Deshalb hat meine Großmutter auch immer einen aktuellen Kernel im Ofen und proprietäre Legacy-Betriebssysteme kennt sie nur aus der Virtual-Box vom Gaffen und Lästern beim Kaffekränzchen. Erzähl uns also nicht, deine Traumfrau wäre auf Windows-Abwärtskompatibilität angewisen.
Gerne mehr davon!
In der Tat, sehr lesenswerte Anregungen. Allerdings würde ich mir eine kleine Ergänzung um cryptoloop wünschen, womit man dann auf Wunsch auch ein ganzes Homeverzeichnis beim Login mounten könnte. Grob skizziert legt man erst einmal ein verschlüsseltes Image an:
Anlegen (hier z.B. Image mit 10GB):
dd if=/dev/zero of=tresor.img statusinterval=1 bs=1G conv=notrunc count=10
losetup /dev/loop5 tresor.img
badblocks -c 10240 -s -w -t random -v /dev/loop5
losetup -d /dev/loop5
cryptsetup -c aes -y create tresor /dev/loop5
mkfs.ext4 /dev/mapper/tresor
Zugriff (manuell):
losetup /dev/loop5 tresor.img
cryptsetup create tresor /dev/loop5
mount /dev/mapper/tresor /mnt/tresor
Lösen (manuell):
umount /mnt/tresor
cryptsetup remove tresor
losetup -d /dev/loop5
Soweit habe ich mir das mal zusammengesucht, jetzt müsste ich es noch so einrichten, dass es beim Login eines entsprechenden Users automatisch als dessen Homeverzeichnis eingebunden und beim Logout entsprechend gelöst wird. Ein entsprechender Pro-Linuxartikel oder eine Erweiterung dieses Artikels wäre natürlich ein Traum.
Außerdem würden mich natürlich brennend eine Abwägung der Vorzüge und Nachteile von cryptoloop im Verhältnis zu cryptkeeper interessieren.
fuck ack???
besonders gut
Wie sieht's bei der Verschlüsselung von Mails aus? Kennt jemand z. B. ein Skript, das alle Mails eines Maildir per GPG verschlüsselt, damit man das ganze sorglos bei einem IMAP-Anbieter abladen kann?
Für einfache Textmails ist das kein großer Aufwand, aber für MIME-Mails schreibt man das mit bash+gpg wohl nicht so einfach runter...
Eigentlich müsste es sowas schon geben, aber gefunden habe ich bisher nichts passendes, bis evtl. auf topine ("...offers facilities to encrypt, decrypt, sign, and verify messages...") - das könnte funktionieren!
Der Artikel lenkt den Blick ja in die richtige Richtung, aber IMHO kann man hierbei den Aspekt der Datensicherung nicht außen vor lassen. Gerade Daten die so wichtig sind, dass man sie verschlüsselt, sollten sicher regelmäßig gesichert werden. Aber wie macht man das ohne dass die Daten auf dem Sicherungsdatenträger entschlüsselt sind?
Da hab ich kürzlich ein praktisches Tool entdeckt. Es nennt sich DeJa-Dup und ist das optimale Backup-Ttool für den Desktop-Rechner. Ist auch in den Ubuntu Paketquellen zu finden. Verschlüsselte, regelmäßige Backups entweder in ein Verzeichnis (d.h. auch auf externe Laufwerke), oder Online möglich. https://launchpad.net/deja-dup
In dem man das ganze verschlüsselte Image sichert. Es ist ja nicht Sinn und Zweck einer Verschlüsselung das anschließend die Dateien unverschlüsselt im Backup liegen. Es gibt natürlich auch Backup Programme die ihre Daten verschlüsselt übertragen, somit bleibt aber das Backup unverschlüsselt auf dem Backup Server. Dort hat dann wenigstens der Backup Administrator Zugriff auf die Daten was ja, wenn es sich z.B. um die Gehaltsinformationen der Kollegen handelt, nicht unbedingt gewünscht ist.
MfG =HAL-9000=
Bei Privatanwendern würde ich schlicht die Backup-Platte vollverschlüsseln, habe ich zu Hause mit cryptsetup/LUKS gemacht. Die Platten werden per skript ein- und ausgehängt. Klappt wunderbar. Haut natürlich ein wenig auf die Geschwindigkeit, aber das ist mir wurst. Dafür sind alle Daten sicher verschlüsselt ...
Ich hätte noch ecryptfs aufgenommen. Das ist bei Ubuntu vorinstalliert und ermöglicht das bequeme verschlüsseln des gesamten Home automatisch bei der Installation.
Einzelne Ordner lassen sich auch verschlüsseln.
Mit Luks kann man auch komplette Datenträger verschlüsseln. Unterstützung ist in Nautilus eingebaut, d.h. man wird bein Ein- und Aushängen automatisch nach den Passwort gefragt.
Schon ein cooles Tool. Hatte damals auch Probleme eine vernünftige Lösung zu finden. Bin allerdings dazu übergangen einfach eine VM für sowas zu machen. Wenn man darin Ubuntu 9.10 installiert, hat man sogar auch direkt Dateiverschlüsslung. Besonderer Vorteil der VM-Lösung: Wer versteckte Dateien benutzt, bearbeitet etc., hinterlässt ja ungewollt auch an anderer Stelle Spuren. Darauf muss man bei der VM nicht aufpassen... Hinzukommt, dass Backups ein Kinderspiel sind. Zumindest im Fall von VMWare.
Das interessiert mich schon lang, inwieweit respektiert Gnome eigentlich meine Privatssphäre?
Soll heißen, spätestens wenn ich ein verschlüsseltes Homeverzeichnis nutze, kann ich davon ausgehen, dass (außer im Swap versteht sich) keine temporären Dateien oder sonstwas außerhalb des Homeverzeichnisses geschrieben werden (/tmp und /var kommen mir da in den Sinn)?
Neben SWAP werden User-Daten unter Linux auch nach /tmp/ und /var/ gespeichert.
Eine VMware schürtzt vor einblicken. Ab der version 7 steht hier auch eine interne Crypt-methode zu Verfügung. Wenn die Images dann nochj zusätzlich auf ein Verschluesseltes Laufwerk geelgt werden sollten die Daten sicher sein.
Man sollte aber über ausreichend Ram verfügen, und die SWAP ganz absschalten, oder diese ebenfalls verschlüsseln.
Auch sollter man Task-Vorschaubilder deaktivieren - ich bin mir nicht sicher ob diese nicht auch temporaer zwischengespeichert werden.
Alternativ kann man sich dein Host-System natuerlich auch komplett verschlüsseln
Gruß,
Andre
>>> Neben SWAP werden User-Daten unter Linux auch nach /tmp/ und /var/ gespeichert.
I consider this a bug!
Gibt es schon einen Bugreport? Dass ich mich um Swap selbst kümmern muss ist klar, aber Gnome(-Anwendungen) sollten es tunlichst vermeiden, bei vorliegender Verschlüsselung sensible Daten noch irgendwohin außerhalb des verschlüsselren Homeverzeichnisses zu schreiben.
Hmm das ist eigentlich kein Bug.
Die Sache ist, dass im /var- und im /tmp-Verzeichnis laufend Zeug reingeschrieben wird. Alleine die ganzen Sockets, die in /tmp und /var/run laufen. (Gib mal in der Konsole netstat ein.) Wenn du wirklich high security willst, solltest du 1. kein (normales) Linux benutzen und 2. verstehen, was vor sich geht. 
Letztendlich kannst du das ja mehr oder weniger kontrollieren, indem du guckst, welche Rechte, auf welchem Verzeichnis gegeben sind. Und nicht zu vergessen, dass der X-Server üblicherweise mit Rootrechten läuft.
... so kann man seine Privaten Daten auf jedem! Betriebsystem verwenden und die verschlüsselte dateien (nicht als Partition) kann man auch wunderbar auf einem USB Stick speichern.
Falls dann doch die Freundin wissen will was in "meine-große-liebe.tc" drin ist gibt man das alternativ passwort ein und schwubs sieht sie nur ihre fotos.
Bereits mein Großvater hat bei der Auswahl meiner Oma darauf geachtet, dass das Mädel untenrum liberal und obenrum geradlinig ist. Deshalb hat meine Großmutter auch immer einen aktuellen Kernel im Ofen und proprietäre Legacy-Betriebssysteme kennt sie nur aus der Virtual-Box vom Gaffen und Lästern beim Kaffekränzchen. Erzähl uns also nicht, deine Traumfrau wäre auf Windows-Abwärtskompatibilität angewisen.
versteh ich nich
da reicht es das P_videoarchiv einfach unter /usr/share/... oder /etc/etc/usw,....als root zu speichern
Hast Du Kinder?