Home-Partition verschlüsseln

[brainwasher]

Hi,

Ich würde gerne meine Home-Partition (ich hab das gesamte /User -Verzeichnis auf eine eigene Partition verlagert) verschlüsseln.
Meine Fragen dazu:
- Mit welchem Tool / Algorithmus? Wichtig ist mir vor allem, dass ich die Partition auch unter Linux (welches ich im Dualboot zu Mac OS X betreibe) wieder entschlüsseln kann.

- Wie praktiziere ich das am besten, dass die Partition dann beim Start automatisch wie jede andere Partition gemountet wird? Am liebsten wäre mir eine Passphrase-Eingabe vor dem eigentlichen User-Login oder Ähnliches ...

Für Ideen, Anleitungen, HowTos usw. wäre ich sehr dankbar!

 

[genetic2k]

Wie es genau geht weiß ich nicht, aber es müsste mit TrueCrypt gehen; und dann auch unter Linux

 

[brainwasher]

An TrueCrypt hatte ich auch schon gedacht. Allerdings hab ich da keine Ahnung wie ich dann regle, dass die Partition automatisch gemountet wird. Unter Linux konnte ich immer während des Bootvorgangs meine Passphrase eingeben, aber bei Mac OS X hat man beim Booten ja kein Terminal.

 

[brainwasher]

...
Keiner eine Idee? FileVault scheint ja ungeeignet für mein Problem zu sein, nachdem mans unter Linux offenbar nicht mehr entschlüsseln kann ...

 

[SelonScience]

Besser waere den die ganze HDD verschluesseln.

 

[brainwasher]

Besser waere den die ganze HDD verschluesseln.

Ich muss sagen, das hilft mir jetzt nicht wirklich weiter

 

[Birke]

Ich habe nur verschlüsselte TrueCrypt Container mit einem Hidden Volume. Denen kann man ja lustige Namen wie _thumbs oder gj3gj32jbk.tmp geben.

Zudem sind meine Daten alle im Hidden Volume. Das normale Volume mounte ich gerne für jeden der mal neugierig wird.

Die ganze HDD wäre mir zu riskant. Aber TrueCrypt ist schon eine feine Sache.

 

[SonOfNyx]

Eine Full Disk Encryption hat Vor- und Nachteile. Die Tatsache, dass einige Systemdateien sich nie ändern, kann u.U. bei einem Angriff auf die Verschlüsselung helfen.

 

[SelonScience]

Eine Full Disk Encryption hat Vor- und Nachteile. Die Tatsache, dass einige Systemdateien sich nie ändern, kann u.U. bei einem Angriff auf die Verschlüsselung helfen.

Leuchtet mir nicht ein, kannst du eine Quelle posten: jeder windows pc hat z.B. den IE oder Office drauf, jeder mac itunes, safari. Was soll daran unsicher sein?

 

[SonOfNyx]

Zu wissen, welche Dateien u.a. im Verschlüsselten Container sind, kann dabei helfen, die Verschlüsselung zu knacken. Das bedeutet natürlich nicht, dass die Verschlüsselung dann innerhalb weniger Stunden zu knacken ist - es ist aber ein potenzielles Sicherheitsrisiko. Ein sicheres System zusammen mit einem verschlüsselten Home-Verzeichnis, wäre deutlich sinnvoller.

 

[martinibook]

Sicherheit + Komfort = geht nicht

FileVault ist nett unter OS X

TrueCrypt läuft überall, aber nicht nett integriert, schon gar nicht als Homeverzeichnis.

Also, musste basteln.

 

[SelonScience]

Dazu kann ich nichts im Netz und bei Wikipedia finden. Hast du eine Quelle? Viele Dank.

 

[SonOfNyx]

Muss ich suchen … das war irgendwo ein Artikel als pdf.

Ein weiteres Problem für eine Full Disk Encryption der Systempartition ist, dass der Key während des gesamten Betriebs im Speicher bleiben muss und damit anfällig für eine Cold Boot Attack ist. Desweiteren offenbart man so jedem Dritten, dass man Daten auf dem System hat, die potenziell sensibel sind. Das Konzept von TrueCrypt mit den Hidden Volumes ist da wesentlich pfiffiger. Eine Kombination aus Full Disk Encryption und weiteren extra verschlüsselten Containern wäre ebenfalls denkbar, allerdings muss man dann aufpassen, da sich Verschlüsselungsalgorithmen gegenseitig auch behindern bzw. schwächen können.

 

[brainwasher]

Da fällt mir gerade etwas anderes für mein Problem ein:
Ist das möglich, dass ich mein "Mac-Home" mit FileVault verschlüssle und dann auf der selben Partition einen Container für mein "Linux-Home" mache? Oder würde der Container mit FileVault mitverschlüsselt werden?
Dass ich dann von Linux aus mein "Mac-Home" nicht mehr lesen kann, könnte ich verschmerzen, umgekehrt wärs mir wichtiger.

Ansonsten muss ich mir wohl wirklich mal etwas zusammenbasteln ...

 

[martinibook]

Solange du deinen TC nicht in /Users/brainwasher/ hast, ist er nicht verschlüsselt. Kannste auf / legen oder so.

 

[brainwasher]

Vielen Dank! Dann werd ichs mal so versuchen.