Skip to content

Verschlüsselte Homeverzeichnisse ...

Geschrieben von Dirk Deimeke am
ubuntu Ich habe heute neben der normalen Arbeit meine beiden Rechner mit Lucid Lynx (Ubuntu 10.04 LTS) installiert. Wie immer mit der Alternate-CD und wie immer auch nach einem vorherigen Backup. Die Installation klappte wie erwartet problemlos und ich habe mich - nach einem Denkanstoss von Roman letzten Freitag - dazu entschieden, die Homeverzeichnisse zu verschlüsseln. Auch das funktioniert wunderbar mit der Alternate-CD, der Swap-Bereich wird gleich mitverschlüsselt, so muss das sein.

Die Performance der Verschlüsselung ist für die normale Arbeit völlig in Ordnung. Allerdings musste ich heute die neue DeimHart-Episode schneiden und die Arbeit mit sehr grossen Dateien (etwas über zwei Gigabytes) ist nahezu unmöglich. Diese müssen also das Homeverzeichnis verlassen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Roman am :

*Spannend, dass die Verschlüsselung bei grossen Dateien eine derart starke Rolle bei der Performance spielt.

Ich nutze auch lieber die Alternate-CD oder dessen Abbild auf einem USB-Stick. Bei Beta-Versionen nehme ich dann aber doch lieber noch die Live-Variante, damit ich noch kurz testen kann, ob alle Hardware erkannt und richtig genutzt wird. Bei der grafischen Installation steht dann aber die Verschlüsselung nicht als Installationsoption zur Verfügung.

Dirk Deimeke am :

*Ich benutze die Versionen immer erst ab der Beta-Version und auch da nehme ich immer nur die Alternate-CD und bin bis jetzt noch nicht hereingefallen.

Martin am :

*Gibt's für Ubuntu eigentlich auch eine vollständige Verschlüsselungsmöglichkeit à la PGP WDE?

int am :

*Sicher - einfach mit der Alternate-CD installieren und die entsprechende Option wird angeboten.
Ich würde unbedingt die ganze Platte verschlüsseln und nicht nur das Home-Verzeichnis. Man weiss nie was alles genau wo landen kann - wie wäre es z.B. mit /tmp?

Martin am :

*Ja, das sehe ich auch so, deshalb die Frage … allerdings muss man mit der reduzierten Performance leben können.

pluvo am :

*Dazu eventuell ganz interessant:
Benchmark Festplattenverschlüsselung

(Ich verschlüssele auch immer alles mit dm-crypt/LUKS und habe keine Probleme.)

@Dirk: Wie sieht denn deine Hardware aus? ;-)

Mir wäre die Verschlüsselung des persönlichen Ordners eigentlich auch zu wenig. Ich will auch nicht, dass man weiß welche Dateien sich in diesem Ordner befinden.

Siehe: /var/lib/mlocate/mlocate.db

Dirk Deimeke am :

*Nicht nur mit der reduzierten Performance auch mit der reduzierten Akkulaufzeit ...

gutsy am :

*verschieb /tmp (und vll /var/log) doch in den ram

Dirk Deimeke am :

*Gute Idee, vor allem vor dem Hintergrund, dass /tmp eh bei jedem Reboot gelöscht wird.

Dirk Deimeke am :

*Die Notwendigkeit sehe ich für mich nicht, will aber nicht bestreiten, dass es Menschen gibt, bei denen eine Totalverschlüsselung Sinn macht.

Dirk Deimeke am :

*Ich kenne PGP WDE nicht, aber selbstverständlich gibt es auch für Linux vollständige Festplatten-Verschlüsselung.

Fabrice am :

*Ich verschlüssele grundsätzlich alle Partitionen (außer /boot) und habe bisher immer gute Erfahrungen damit machen können. Selbst große Dateien lassen sich in einem angemessenen Tempo bearbeiten. Kurz: Ich kann deine Kritik nicht ganz nachvollziehen.

int am :

*Bei mir läuft sie auch vollständig verschlüsselt und Probleme hatte ich damit auch nie (das einzige war ein Upgrade-Problem von Fedora 11 auf 12,weil die /boot-Partition zu klein war um das Image aufzunehmen und ich sie nicht so leicht vergrössern konnte).
Die Performance-Einbusse ist mir auch noch kaum aufgefallen, wobei mir die eh nicht so wichtig ist.

Martin am :

*CPU ist üblicherweise nicht (mehr) das Problem, aber Bus/Harddisk spürt man jeweils bei etwas intensiverer Nutzung … zumal Bus/Harddisk auf modernen Systemen durch zahlreiche Hintergrundprozesse sowieso kontinuierlich belastet werden (Suchindex, Backup lokal und online als Beispiele).

Dirk Deimeke am :

*Die CPU spielt gerade auf mobilen Systemen (insbesondere auf Netbooks) immer noch eine Rolle, erstens sind sie in der Regel langsamer sind als Desktop-CPUs und zum Zweiten, weil eine hohe CPU-Last für eine geringere Laufzeit mit dem Akku sorgt.

Dirk Deimeke am :

*Es kommt immer darauf an, was man mit dem Rechner macht und wie wichtig einem selber die Daten sind, die darauf liegen.

Dumdidum am :

*Habe auch eine Vollverschlüsselte Ubuntu 9.04-Installation auf dem Notebook. Nun weiss ich aber nicht wie ich das dann upgraden (also auf 9.10) soll. Kommt der Update-Manager mit meiner Vollverschlüsselung klar oder muss ich da neu drüberinstallieren, was ja mit seperater Home-Partition kein Problem sein soll.

Dirk Deimeke am :

*Wenn die Verschlüsselung das einzige ist, wird das kein Problem sein. Losgelöst von allem, solltest Du vor jedem Upgrade ein Backup machen.

Dirk Deimeke am :

*Was genau machst Du mit grossen Dateien?

Wandeln einer 2 GB WAV-Datei von 24bit, 96 kHz auf 16bit, 44.1 kHz dauert auf einer unverschlüsselten Festplatte 120 Sekunden, bei einer verschlüsselten Platte 145 Sekunden Minuten (20% länger), Resultat ist in beiden Fällen eine 660 MB grosse Datei.

Kopie einer 2 GB Datei von unverschlüsselt auf unverschlüsselt dauert 108 Sekunden, von unverschlüsselt auf verschlüsselt 117 Sekunden, von verschlüsselt auf verschlüsselt mit der gleichen Datei 131 Sekunden und von verschlüsselt auf unverschlüsselt 124 Sekunden.

Ice am :

*Ich habe noch nicht ganz verstanden, wozu eine Verschlüsselung genau gut sein soll. Weckt das nicht bereits Verdacht, dass da etwas verborgenes liegt? Wie zeichnet sich denn konkret ein Fall ab, wo die Verschlüsselung wirksam bzw. nützlich ist?
-> ich steh' am Zoll zur Einreise in die USA und die netten Herren wollen, dass ich das Notebook aufstarte...

Ich glaube ich mache mir da ganz falsche Vorstellungen. Vielleicht kann mir jemand solche Szenen konkret erläutern, danke.

Dirk Deimeke am :

*Verschlüsselung macht meiner Meinung nach vor allem dann Sinn, wenn Du mit dem Gerät häufig unterwegs bist und die Gefahr besteht, dass Du es irgendwo liegen lässt oder, dass es Dir gestohlen wird.

Es ist Dein gutes Recht, private Daten zu verschlüsseln.

In die Staaten würde ich grundsätzlich nur mit einem leeren Notebook reisen und es erst in den Staaten installieren (Daten würde ich vorher auf meinen root-Server kopieren).

Gerald am :

*Dazu muss man bedenken, wie die Verschlüsselung arbeitet.

Zwei Beispiele:

Truecrypt mischt die Sektoren physikalisch durch, das heißt, zwei Sektoren, die das Filesystem benachbart sieht, liegen physikalisch irgendwo anders. Das kostet natürlich Performance und hat außerdem den Nachteil, dass große Teile eines Truecrypt-Containers neu eingelesen werden müssen, auch wenn sich nur relativ wenig ändert. Das bemerkt man besonders krass, wenn auf den Container über ein Netz zugegriffen wird.

EncFS / EncryptFS können "Salz" mit einfügen, das heißt, Zufallsdaten, die nicht Bestandteil der Nutzdaten sind, und so die verschlüsselten Daten weiter verschleiern. Das bedeutet wiederum, dass eine physikalische Adressierung von Sektoren nicht mehr möglich ist. Wenn ich also große Dateien bearbeite, schreibe ich meist nur in Teilbereiche. Unverschlüsselt würden einfach die entsprechenden Sektoren adressiert. Verschlüsselt hingegen müssen wiederum erheblich größere Bereiche der Datei neu geschrieben werden.

In beiden Fällen spielen Rechenleistung / CPU-Last keine wesentliche Rolle; die Verzögerungen entstehen durch das physikalische Layout und die Festplattenzugriffe. Werden Dateien in einem Stück kopiert, sorgen die Caches und Puffer für einen zügigen Schreibvorgang; hier treten diese Effekte kaum in Erscheinung.

Verschlüsselung eignet sich also gut für sichere Speicherung, aber nicht als "Arbeitsbereich".

Dirk Deimeke am :

*Gebe Dir Recht, allerdings verschwimmt "Arbeitsbereich" und "Dateiablage" bei einem Notebook ...

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen
Datenschutzerklärung / Impressum