Login
Login-Name Passwort


 
Newsletter

Thema: Verschlüsseln Sie Ihr System?

25 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Mint am Fr, 3. November 2017 um 14:35 #

Gegen eine Verschlüsselung kann doch eigentlich nur sprechen, wenn die Rechenpower für die Ver- und Entschlüsselung größerer Datenmengen einfach nicht ausreicht. Was sollte es da denn noch für andere relevante Nachteile geben??

  • 0
    Von schmidicom am Fr, 3. November 2017 um 14:43 #

    Der Aufwand?
    Wenn der Grad an Sicherheit was nützen soll muss man sich damit eben auch ein bisschen auseinander setzen, wenn es aber schon daran scheitert lässt man es besser gleich bleiben. Besser keine Sicherheit als sich selbst und womöglich noch anderen was vormachen (ala: "Ach was ist mein [bitte etwas einfüllen] sicher, voll krass verschlüsselt mit ROT13 und Passwort in der Cloud.").

    • 2
      Von Mint am Fr, 3. November 2017 um 14:49 #

      Der Aufwand ist in meinen Augen nun wirklich nicht hoch. Bei einer Neuinstallation einen Haken bei Verschlüsselung setzen, ein Passwort vergeben und mehr ist es doch nicht.

      • 0
        Von schmidicom am Fr, 3. November 2017 um 14:50 #

        Sollte man meinen ja, aber für manche ist das schon zu viel. ;)

        2
        Von Twiggy am Fr, 3. November 2017 um 14:59 #

        Naja, wenn man verschiedene Partitionen bzw. Platten verschlüsselt und beim Booten mit nur einer Passworteingabe freischalten will sind das locker 3-5 Terminalbefehle mehr ;)

        • 2
          Von Nur ein Leser am Fr, 3. November 2017 um 15:11 #

          Ja, ich persönlich setze deshalb auch auf einen verschlüsselten LVM-Container, denn es wäre tatsächlich lästig, zum Start mehrere Partitionen entsperren zu müssen.

          Aber klar, wenn man auch auf einem System noch diese Abgrenzung machen will oder muss, darf man den Aufwand nicht scheuen.

          Sicherheit IST unbequem, das ist unbestritten.

    2
    Von Nur ein Leser am Fr, 3. November 2017 um 15:16 #

    Und selbst die Rechenpower ist (bei halbwegs aktueller Hardware) kein wirkliches Argument.

    Ich setze seit einigen Jahren auf LUKS/dm-crypt mit AES. Da ich ebenso seit Jahren schon Prozessoren (i5/i7) verwende, die einen AES-Coprozessor integriert haben, sehe ich da keinen Geschwindigkeitsnachteil in der Praxis.
    Ich gebe zu, das ich das nicht gebenchmarkt habe, aber ich konnte nach der ersten Vollverschlüsselung keinen fühlbaren Unterschied in der Geschwindigkeit wahrnehmen. Und bis heute bin ich mit der Performance absolut zufrieden, erst recht, seit dem ich eine SSD verwende.

    • 0
      Von blablabla233 am Sa, 4. November 2017 um 14:14 #

      cryptsetup benchmark

      • 0
        Von Nur ein Leser am Sa, 4. November 2017 um 14:40 #

        Danke für den Tipp! Kannte ich noch nicht.

        Auf meinem "aktuellen" Laptop (Refubished, Mobile i7 der 3. Generation von 2012) erreiche ich für AES je nach konkretem Algorithmus für das Verschlüsseln Werte zwischen 450 und 1860 MiB und für das Entschlüsseln Werte zwischen 1450 und 2250 MiB.
        Das bedeutet, das man auch im schlechtesten Fall immer deutlich mehr Lesedurchsatz hat, als SATA 3 (ca. 600 MB/s netto) überhaupt liefern kann. Beim Schreiben stößt man im schlechtesten Fall an eine Grenze durch die Verschlüsselung, aber auch nur bei SATA 3 - SSDs. Festplatten schaffen beim Schreiben in keinem Fall 450 MB/s.

        Ich bleibe also dabei, das man mit einem halbwegs aktuellen Prozessor mit AES-Coprozessor auf keinen Fall einen Performanceeinbruch durch die Verschlüsselung bemerken kann.

        • 0
          Von anonymous am Mo, 6. November 2017 um 11:05 #

          Ich habe sogar noch ein älteres Modell, muss hier aber trotzdem kurz eine Sache anmerken:

          Der von dir gemessene Durchsatz übersteigt die SSD-Werte, das ist richtig. Dann liegt deine CPU aber bei 100% und wenn der Kernel nicht gerade perfekt die Zeiten verteilt, kann die ein oder andere Anwendung dann auch spürbar ins Stocken geraten.

          Bei meinem Intel Atom N270 (ja, 32 Bit) kann da auch mal der Mediaplayer kurz aussetzen, wenn ich was entpacke (AES und XZ-Algorithmus wegen tar.xz-Archiv). Und das nervt dann doch.

          • 0
            Von Nur ein Leser am Mo, 6. November 2017 um 12:35 #

            Dann liegt deine CPU aber bei 100% und wenn der Kernel nicht gerade perfekt die Zeiten verteilt, kann die ein oder andere Anwendung dann auch spürbar ins Stocken geraten.
            Also ich bin mir nicht sicher, ob so ein Kopier-/Schreibprozess tatsächlich die komplette CPU beansprucht, immerhin habe ich ja zwei Kerne und vier Threads.

            Ich hatte aber auch schon mal den Fall, das ich mit handbrake Mediendateien konvertiert habe (was ja einen Schreibvorgang auf die Festplatte mit einschließt) und die Last auf allen vier Threads bei 100% lag. Trotzdem reagierte die GUI butterweich und ich konnte noch andere Sachen nebenher machen.
            Könnte also tatsächlich auch eine Frage des Hyperthreadings und der unsterstützten Instructions der CPU sein...

            Bei meinem Intel Atom N270 (ja, 32 Bit) kann da auch mal der Mediaplayer kurz aussetzen
            Habs mal kurz nachgeschaut, der hat keine AES-Instruktionen eingebaut wird also komplett in Software codieren.
            Kann schon sein, das dabei die von Dir beschriebenen Effekte (beim Wechsel der Tasks auf der CPU?!?) auftreten.

            • 0
              Von anonymous am Di, 7. November 2017 um 20:15 #

              Ja, die CPU ist eigentlich nicht für solche Zwecke gedacht. Dennoch kann ich auf dem System mit Vollverschlüsselung gut arbeiten. Ob sie aktiviert ist oder nicht, merkt man im Normalfall nicht. Mal davon abgesehen, dass man von dem Netbook ohnehin keine Wunder mehr erwarten darf. :)

              Von daher stimme ich dir zu: Performance sollte kein Gegenargument sein. Selbst mit einer CPU, die das eigenständig durchführen muss.

    0
    Von sbsjsjsjs am Fr, 3. November 2017 um 18:18 #

    Rechenpower ist kein Problem da jeder halbwegs neue Prozessor hardwarebasiertes AES hat.

    Nachteile hast du dann, wenn etwas kaputt geht. In der Theorie lässt sich alles schön rekonstruieren. In der Praxis sind die Implementierungen total verbuggt, teilsektoren nicht ansprechbar und die Daten dann sind so gut wie immer verloren. Da hilft nur ein physikalisches unabhängiges unverschlüsseltes Backup.

    • 0
      Von Anonymous am Sa, 4. November 2017 um 10:29 #

      Ich sehe ebenfalls die Gefahr, durch Defekte ausgesperrt zu werden oder sich durch eigene Blödheit selbst auszusperren.

      Backups werden noch wichtiger. Wie sieht eine sinnvolle Backupstrategie aus, bei der auch das Backup verschlüsselt ist, aber man sich nicht aussperren kann?

      Mir erscheint es sinnvoller, nur schützenswerte Daten in mehrere LUKS-Container zu packen und die Container (in verschlüsseltem Zustand) zu sichern. Dann ist schlimmstenfalls nur einer der Datenbestände weg, wenn mal was völlig schiefgeht.

      Nachteil ist, dass das Betriebssystem allerlei Metadaten über die Dateien anlegt, die man aus den Containern holt und bearbeitet (leider gibt es immer mehr von diesem "Komfortscheiß", den man im Blick behalten muß). Weiterer Nachteil: Zugangsdaten und Passwörter liegen im unverschlüsselten Bereich.

      Vorteil ist, dass die Container nicht standardmäßig offen sind, sondern nur, wenn man wirklich mit den Daten arbeitet. Weiterer Vorteil: bei der Datensicherung muss nicht das gesamte Betriebssystem mitgesichert werden.

      1
      Von bremse am Sa, 4. November 2017 um 12:20 #

      Nachteile hast du dann, wenn etwas kaputt geht. In der Theorie lässt sich alles schön rekonstruieren. In der Praxis sind die Implementierungen total verbuggt, teilsektoren nicht ansprechbar und die Daten dann sind so gut wie immer verloren. Da hilft nur ein physikalisches unabhängiges unverschlüsseltes Backup.

      Ich sehe das Problem nicht. - Mal so aus der Praxis.
      Wenn wirklich "etwas kaputt geht", dann spielt man eben das Backup ein. ;)

      Und nein, man muß auch keine unverschlüsselten Backups machen.

      • 0
        Von gogo am So, 5. November 2017 um 17:26 #

        UNIX/Linux war immer schon strikte Trennung von Daten und Systemdateien - und so mache ich das auch mit der Datensicherheit - was geschützt werden muss/soll ist in einem verschlüsselten Container (oder auch verschlüsselt in einem Container) und damit basta.
        Verschlüsselungen des gesamten Systems sind zur Zeit noch viel zu buggy um wichtige Daten damit zu schützen - was hat man davon, wenn die Daten zwar geschützt sind, aber man selber nicht mehr rankommt? Wie "sbsjsjsjs" geschrieben hat:
        "Nachteile hast du dann, wenn etwas kaputt geht. In der Theorie lässt sich alles schön rekonstruieren. In der Praxis sind die Implementierungen total verbuggt, teilsektoren nicht ansprechbar und die Daten dann sind so gut wie immer verloren."

        Irgendwo ein falsches Bit kombiniert mit einem Bug im Decrypt-Programm verhindert dass Du jemals wieder an das System rankommst. Derzeit ist eine Vollverschlüsselung eines Systems nicht anzuraten.

        • 0
          Von KDE Fan am So, 5. November 2017 um 20:03 #

          Verschlüsselungen des gesamten Systems sind zur Zeit noch viel zu buggy um wichtige Daten damit zu schützen - was hat man davon, wenn die Daten zwar geschützt sind, aber man selber nicht mehr rankommt?
          Kann ich nicht bestätigen. Was genau soll denn da Buggy sein?

          Ich crypte alle Partitionen ausser/boot schon seit weit über 10 Jahren und hatte in dieser Zeitspanne nicht ein Problem mit der Verschlüsselung. Als OS nutze ich openSuse bzw. Leap. Das Importieren von verschlüsselten Luks/LVM Partitionen, um ein neues OS zu installieren, hat noch nie versagt. Zur Sicherheit habe ich ein Luks Headerbackup extern gesichert. Habe es in 10 Jahren nicht benötigt.

          Derzeit ist eine Vollverschlüsselung eines Systems nicht anzuraten.
          Derzeit? Totaler Blödsinn. Läuft alles prima. Demnach dürftest Du auch keine Platten benutzen, die die Daten per Firmware verschlüsseln, denn auch Controller kônnen kaputt gehen und Deine Daten sind weg. Auch normale DS können durch Bitkipper versagen und Du kommst ggf. auch nicht mehr an Deine Daten ran.
          Nicht Verschlüsselung impliziert nicht, dass Du keine Backups benötigst.

          0
          Von kamome umidori am So, 5. November 2017 um 20:18 #

          > Derzeit ist eine Vollverschlüsselung eines Systems nicht anzuraten.

          Geht's noch?! Du solltest auch kein Dateisystem verwenden – könnte ja einen Fehler enthalten und Deine Daten zerstören! (Kann es auch, aber Dein „Backup“ liegt ja wohl auf einem anderen Rechner, oder?)

1
Von KDE Fan am Fr, 3. November 2017 um 16:17 #

Ich verschlüssele auch meine LVM Partitionen via Luks...Dies betrifft root und home. /boot mit dem Kernel kann so nicht verschlüsselt werden. Zumindest unter Linux wüsste ich also nicht, wie ich ein "ganzes System" verschlüsseln könnte...
Den Titel finde ich somit nicht ganz passend, oder lässt sich das doch erreichen?

  • 1
    Von KDE Fan am Fr, 3. November 2017 um 16:23 #

    Mir fällt ein:
    Manche Platten, z.B. SSDs, wie z.B. Samsung 850 Pro, können über die Firmware verschlüsselt werden, also noch vor dem OS Start müsste man ein PW eingeben.
    Aber das ist nicht open source...

1
Von walker1973 am Fr, 3. November 2017 um 21:22 #

Nicht jeder nutzt SSD Platten und mit SATA merkt man da Performance Probleme wenn man mit vielen Daten Jongliert und Umkopiert oder aber auch Grössere Daten Mengen Entpackt oder aber auch Packt dann hat man da ganz Massiv Performance Probleme und bringt das System in Null Komma nix in die Knie.

Und wenn mal was in die Binsen geht wie oben schon geschrieben wurde kannste zu 98% die Daten Vergessen.
Ich Arbeite seit 9 Jahren mit Linux in verschiedenen Varianten und zu 95% immer mit mehreren Rechnern und ich habe nur 2x was Verschlüsselt nie wieder und Probleme habe ich deswegen auch noch nie gehabt weil nichts Verschlüsselt ist.
Falls doch mal was ist habe ich so zumindest die Möglichkeit und kann meine Daten Retten mit ner Live CD oder USB Stick.
Die paar von meinen Kollegen die das mal Verschlüsselt hatten und dann Daten Verlust hatten Verschlüsseln nun auch nicht mehr ich habe nicht einen mehr in meinen Freundes oder Bekanntenkreis der noch Verschlüsselt nur die Passwort Eingabe beim Hochfahren das nutzen Alle.

  • 0
    Von Nur ein Leser am Fr, 3. November 2017 um 21:35 #

    mit SATA merkt man da Performance Probleme [...] bringt das System in Null Komma nix in die Knie.
    Also erstens ist SATA eine Schnittstelle, keine Festplattentechnik. Auch meine SSD ist per SATA (3) angebunden.
    Zweitens kann ich die Performance-Einbrüche beim Umkopieren nicht bestätigen. Ich habe auch lange Zeit mit Festplatten verschlüsselt (Vollverschlüsselung mit LUKS/LVM-Container). Ich konnte keinen Unterschied zum unverschlüsselten Zustand feststellen - vorausgesetzt, man hat einen Prozessor mit AES-Instruktionen (AES-Coprozessor), aber das sind alle Prozessoren der Mittel- und Oberklasse seit vielen Jahren.

    Und wenn mal was in die Binsen geht wie oben schon geschrieben wurde kannste zu 98% die Daten Vergessen.
    Mag sein, aber ich hatte z.B. noch nie Probleme.

    Falls doch mal was ist habe ich so zumindest die Möglichkeit und kann meine Daten Retten mit ner Live CD oder USB Stick.
    Falls doch mal was ist, nehme ich meine Datensicherung und setze das System mit der neu auf.
    Mal ehrlich: Wer keine Datensicherung hat, ist selbst schuld. Auch wenn die Daten nicht verschlüsselt sind, kann das Dateisystem kaputt gehen oder Sektoren können hinüber sein, dann sind u.U. auch Daten unrettbar verloren.

0
Von kraileth am Sa, 4. November 2017 um 08:12 #

Mein Bereitschaftsklappi ist mit GELI verschlüsselt, weil ich für das Gerät an die Sicherheitsrichtlinie meines Arbeitgebers gebunden bin. Wenn ich mir nächstes Jahr einen Desktop fürs Home-Office einrichten sollte, gilt natürlich das gleiche.

Privat verschlüssele ich nicht. Der Grund dafür ist allerdings eher... untechnisch. Ich habe so gesehen keinen komplett eigenen Rechner, sondern teile alle Geräte mit meiner Frau. Und sie hat schlicht und ergreifend *sehr* wenig Lust darauf, sich noch ein weiteres Passwort (bzw. eine Passphrase mit 20+ Zeichen) zu merken und es einzugeben. Ja, an solch „einfachen“ Hürden kann es scheitern (Frauenwille, Gotteswille...). :shock:

  • 0
    Von blablabla233 am Sa, 4. November 2017 um 14:19 #

    kauf doch eine smartcard oder nutz eine abgelaufene, gib ihr eine karte und fertig, die karte hat sie in der geldboerse und fertig.

    0
    Von Condor am Mo, 6. November 2017 um 09:21 #

    Ach die BSD- Welt. So aus Neugierde wie hast du partitioniert und wie sind da deine persönlichen Eindrücke im Alltag?

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten