Von Crass Spektakel am Mo, 7. Juli 2008 um 14:06 #
Da beide Systeme die gleichen zugrundeliegenden Algorithmen verwenden wirds keine grossen Unterschiede geben. Wobei ich eher davon ausgehe daß FUSE etwas langsamer, umständlicher und unschöner gegenüber device-mapper ist.
Naja der Artikel ist aus Ausgabe 10-2006 - wie aktuell das heute noch ist kann man pauschal nicht sagen. TruCrypt wird sicher nicht schlechter geworden sein aber möglichweise die anderen besser.
Für normale Anwender ist ein Betriebssystem wo sie erst ihren Rechner neu starten müssen doch viel zu aufwendig! Das wird auf Dauer niemand auf sich nehmen.
Der gangbare Weg sind virtual machines in verschlüsselten Containern. Ein signiertes System für Online Banking, eins für verschlüsselte Kommunikation, eins für anonymes Surfen (verwirft alle Änderungen beim Shutdown), eins als Honeypot, ...
"Der gangbare Weg sind virtual machines in verschlüsselten Containern."
Zuviel PR von Vmware geschaut? Eine virtual machine ist keine Sicherheitslösung, Ausbruch ist möglich und die Sicherheitsvorkehrungen in dieser müssen ebenso ablaufen wie auf dem Host. Von daher ist dies für den Anwender per se eine noch weitaus grössere Zumutung. FreeBSD Jails z.B. oder Solaris Zones sind Lösungen die in diese Richtung zielen, aber auch dort ist man noch Lichtjahre entfernt von einer Allgemeintauglichkeit entfernt.
"Für normale Anwender ist ein Betriebssystem wo sie erst ihren Rechner neu starten müssen doch viel zu aufwendig!"
Aber mal davon abgesehen, Leute die Probleme haben sich alleine die Schuhe zuzubinden sollten auch nicht mit dem Computer spielen oder mit Sicherheitslösungen herumfriemeln die sich nicht einmal ansatzweise verstehen. Ein Automatismus existiert nicht.
Mittels einer Sicherheitslücke in der VM kann von VM-Clients aus der Host kompromitiert werden. Mittels VM addierst du eine weitere Softwareschicht, welche sich als schwächstes Glied des Systems erweisen kann. Einfach mal die Release Notes der Bugfix-Releases von VMWare lesen...
Wenn du ein möglichst sicheres System willst, muß der erste Ansatz sein, den benötigten Software-Stapel zu minimieren. Die 0-8-15-Virtualisierung von x86_64-basierten Systemen widerspricht dem.
Wie brichst du aus einer Virtual Machine aus? Vielleicht mit TCP/IP o.ä., wobei man sich da mit einer simplen Firewallkonfiguration auf dem Host vor schützen könnte. Abgsehen davon wäre das Setup mit VMWare auch unter Standardsystemen wie Linux oder Windows ohne größere Verrenkungen möglich.
VMWare ist eine trotzt allem doch recht komplexe und umfangreiche Software, die zudem nicht 100%ig auf Sicherheit ausgelegt ist. Es gab afaik durchaus bereits Beispielcode der zeigt die man über eine VMWare VM wieder Zugriff auf das Hauptsystem erlangen kann.
Soweit ich VMWare verstehe müsstest du bei einem Ausbruch aus der VM mit den relativ hohen VMWare rechten im System unterwegs sein.
Das VMWare wie jede Software fehler enthält, da dürften wir uns denke ich alle einig sein. Entsprechend gibt es natürlich immer auch wege die VM zu überwinden.
Welche Kernelversion braucht man denn mindestens, um XTS-Volumes mit Kernelcode statt über FUSE abzuwickeln? Bei 2.6.24 wird augenscheinlich noch FUSE benutzt.
Und etwas anderes: funktioniert die SMP/Multicore-Unterstützung auch unter Linux? Ansonsten Danke an das TrueCrypt-Team, eine tolle und sehr benutzerfreundliche Software.
Von Crass Spektakel am Mo, 7. Juli 2008 um 14:09 #
Ich weis garnicht ob ich SMP-Unterstützung bei Sektorverschlüsselung will... erstmal ist jede mir bekannte Multicore-CPU problemlos in der Lage mit einem Kern jede Platte in Echtzeit zu verschlüsseln und dann halte ich es für einen grossen Vorteil wenn nicht jede CPU mit sowas belästigt wird.
Als Truecrypt v5.2 rauskam und hochgejubelt wurde, wollte ich es auch mal probieren. Debian Package System angeworfen und nicht gefunden. $uchmaschine befragt und herausgefunden, dass es ein Modul gegen die aktuellen Kernelquellen kompilieren muss. Ein "Debian-Way" ist mehrschrittig und am Package Manager vorbei vorzunehmen, sowohl bei der Erstinstallation und bei allen weiteren Kernelupgrades auch, wo man extra dran denken muss. Da bleibe ich doch lieber bei dm-crypt/LUKS. Mit FreeOTFE kann ich diese sogar auch in Windows lesen und schreiben (vorrausgesetzt, es hat ein windowsfähiges Dateisystem). Und dm-crypt ist im Packet Manager System und erfordert keine Merkzettel bei Upgrades
Also bei mir integriert es sich perfekt ins Paketsystem, bereits die 5.1er Version... Und gegen den Kernel wollen scheinbar alle diese Systeme gelinkt werden. Allerdings gebe ich dir recht, dass es scheinbar kein fertiges Repo gibt aus dem man es ohne weiteres laden kann, etwas Handarbeit ist schon nötig. Aber vllt. hat sich das mittlerweile geändert?
die für Linuxuser interressante Meldung ist im Artikel nicht erwähnt nämlich: # Ability to create hidden volumes under Mac OS X and Linux. # das hat bisher gefehlt und war da es eine Besonderheit von truecrypt darstellt bisher sehr ärgerlich. Ich finde bei Pro-linux könnte man auf die linux spezifischen Meldungen schon ein wenig mehr eingehen.
TrueCrypt und dm-crypt bezüglich der Performance?
http://www.linux-magazin.de/heft_abo/ausgaben/2006/10/loechriger_kaese
kurz: truecrypt ist dm-crypt vorzuziehen.
Der gangbare Weg sind virtual machines in verschlüsselten Containern. Ein signiertes System für Online Banking, eins für verschlüsselte Kommunikation, eins für anonymes Surfen (verwirft alle Änderungen beim Shutdown), eins als Honeypot, ...
Zuviel PR von Vmware geschaut? Eine virtual machine ist keine Sicherheitslösung, Ausbruch ist möglich und die Sicherheitsvorkehrungen in dieser müssen ebenso ablaufen wie auf dem Host. Von daher ist dies für den Anwender per se eine noch weitaus grössere Zumutung. FreeBSD Jails z.B. oder Solaris Zones sind Lösungen die in diese Richtung zielen, aber auch dort ist man noch Lichtjahre entfernt von einer Allgemeintauglichkeit entfernt.
"Für normale Anwender ist ein Betriebssystem wo sie erst ihren Rechner neu starten müssen doch viel zu aufwendig!"
Aber mal davon abgesehen, Leute die Probleme haben sich alleine die Schuhe zuzubinden sollten auch nicht mit dem Computer spielen oder mit Sicherheitslösungen herumfriemeln die sich nicht einmal ansatzweise verstehen. Ein Automatismus existiert nicht.
Erklärung bitte.
Mittels einer Sicherheitslücke in der VM kann von VM-Clients aus der Host kompromitiert werden. Mittels VM addierst du eine weitere Softwareschicht, welche sich als schwächstes Glied des Systems erweisen kann. Einfach mal die Release Notes der Bugfix-Releases von VMWare lesen...
Wenn du ein möglichst sicheres System willst, muß der erste Ansatz sein, den benötigten Software-Stapel zu minimieren. Die 0-8-15-Virtualisierung von x86_64-basierten Systemen widerspricht dem.
Es gab afaik durchaus bereits Beispielcode der zeigt die man über eine VMWare VM wieder Zugriff auf das Hauptsystem erlangen kann.
Soweit ich VMWare verstehe müsstest du bei einem Ausbruch aus der VM mit den relativ hohen VMWare rechten im System unterwegs sein.
Das VMWare wie jede Software fehler enthält, da dürften wir uns denke ich alle einig sein. Entsprechend gibt es natürlich immer auch wege die VM zu überwinden.
Und etwas anderes: funktioniert die SMP/Multicore-Unterstützung auch unter Linux?
Ansonsten Danke an das TrueCrypt-Team, eine tolle und sehr benutzerfreundliche Software.
Da bleibe ich doch lieber bei dm-crypt/LUKS. Mit FreeOTFE kann ich diese sogar auch in Windows lesen und schreiben (vorrausgesetzt, es hat ein windowsfähiges Dateisystem). Und dm-crypt ist im Packet Manager System und erfordert keine Merkzettel bei Upgrades
Allerdings gebe ich dir recht, dass es scheinbar kein fertiges Repo gibt aus dem man es ohne weiteres laden kann, etwas Handarbeit ist schon nötig. Aber vllt. hat sich das mittlerweile geändert?
Grüße.
#
Ability to create hidden volumes under Mac OS X and Linux.
#
das hat bisher gefehlt und war da es eine Besonderheit von truecrypt darstellt bisher sehr ärgerlich. Ich finde bei Pro-linux könnte man auf die linux spezifischen Meldungen schon ein wenig mehr eingehen.