ComputerBase Menü
Aktuelles

Erfahrungen mit TrueCrypt

*cerox*

*cerox*

Lt. Commander
Registriert
Feb. 2005
Beiträge
1.357
Hallo zusammen,

ich denke darüber nach, in Zukunft die Datenpartition meines Debian-Servers mit AES 256 Bit zu verschlüsseln.

Ich verwende unter Windows dazu das OpenSource Programm TrueCrypt. TrueCrypt gefällt mir soweit ganz gut; vor allem die Option mit dem Hidden-Volume halte ich für gelungen.

Damit das ganze reibungslos ablaufen kann (ich muss dafür circa 100 GB Daten vom Server auf meinen PC verlagern und diese sollen auch schnellstmöglich wieder auf den Server), wollte ich vorher noch ein paar Fragen klären.

1.
Ich habe TrueCrypt gestern mal auf einer VM installiert und kurz getestet. Er benötigt die instalilerten Kernel-Sourcen und baut dann ein Kernelmodul. Meine Frage: Muss ich mit Problemen rechnen, wenn ich ein Kernel-Upgrade per apt durchführe?

2a.
Ich habe diese Anleitung zur Hilfe genommen. Dort wird eine Warnung ausgesprochen, Dateisysteme mit einem Journal zu verwenden, da sonst Rückschlüsse auf den Inhalt des Datenträgers gezogen werden könnten. Was könnte ein Angreifer mit Root-Rechten anhand des Journals herausfinden?

2b.
Welche Dateisysteme könnt ihr im Allgemeinen (siehe auch meine Bedenken in 2a) für verschlüsselte Partitionen empfehlen?

2c.
Ich tendiere im Moment zum ext2-Dateisystem? Was haltet ihr davon?

3.
ext3, ReiserFS und Co (zur Zeit verwende ich ReiserFS) sollen so viel schneller als ext2 sein. Wie sehr macht sich das bei einem FTP-Server und im allgemeinen bei der Datenübertragungsrate der Festplatte bemerkbar?

4.
Wer von euch hatte/hat schon TrueCrypt im Einsatz? Könnt ihr darüber Posivitves oder Negatives berichten?

Ich hoffe die Fragen sind nicht allzu dumm.
 
Zuletzt bearbeitet:
also erstmal würde ich von aes absehen. es ist derzeit wohl die meist verwendete verschlüsselung, und daher beginnt sie langsam zu bröckeln. es gibt einfach zuviele die interesse daran haben sie zu knacken ;).
also nimm lieber einen anderes verfahren aus dem aes process finale.


dann mal zu den fragen:

1.
ich weiß nicht ob dir apt das abnimmt, aber ein kernel modul muss nach jedem kernel update neu compiliert werden. ausserdem ändern sich mit jedem kernel release einige schnittstellen, es könnte also passieren das das truecrypt modul mit einem neuen kernel nichtmehr funktioniert. (und da sag nochmal einer feste schnittstellen bräuchten nur die closed source treiber...)

2.
du solltest auch den links folgen wenn du dir eine website durchliest ;). hier steht alles genau beschrieben. kurz: es geht um das dateisystem auf dem der container liegt, nicht um das dateisystem im container. wenn du direkt eine ganze partition verschlüsselst (alles andere wäre für dein vorhaben ziemlicher blödsinn...) ist das völlig egal.

was die dateisysteme angeht: google mal ein wenig ;). für einen server ist ext2 absolut nicht ratsam. da kannst du deine daten gleich zum fenster(:P) raus werfen. anders als du vermutest ist ext2 fast immer schneller als die anderen linux dateisysteme - allerdings liegt das daran das ext2 praktisch keine überprüfungen für die datenkonistens betreibt. ein absturz während das system gerade daten schreibt führt somit fast immer zu datenverlust.

bei einem server sollte dir die datensicherheit in der regel aber das wichtigste sein. und da würde ich reiser3 und ganz besonders 4 ebenfalls ausschließen. die neigen leider zu sehr schlecht nachvollziebaren, seltenen aber fatalen datenverlusten (google weiß mehr ;)).
ansonsten kommt es eben auf deine daten an. wenn du reiser3 für sicher genug hälst, dann eignet es sich vorallem für kleine dateien auf einer relativ leeren partition. reiser neigt sehr stark zum fragmentieren, du solltest dann also darauf achten die partition nicht über 75-80% zu füllen. für große dateien eignet sich xfs am besten. ext3 ist in der regel am freundlichsten zur cpu - wenn dein server also viel arbeiten muss ist dieses dateisystem eine gute wahl.

3.
in wie fern sich das bemerkbar macht kommt auf deine daten und auf deine übertragung an ;). wenn du nicht gerade einen hochleistungsserver für ein paar millionen user stellen willst ist die wahl hier aber relativ egal. nimm das system dem du am meisten vertraust.
 
Hi und danke für die ausführliche Antwort.

also erstmal würde ich von aes absehen. es ist derzeit wohl die meist verwendete verschlüsselung, und daher beginnt sie langsam zu bröckeln. es gibt einfach zuviele die interesse daran haben sie zu knacken
Zum Vergrößern anklicken....

Die Gefahr, das eine Verschlüsselung irgendwann geknackt wird, besteht immer. So lange sie allerdings noch nicht geknackt wurde, kann ich sie auch als sicher ansehen und verwenden.

Wie sieht es denn mit Blow- oder Twofish aus? Die sind doch um einiges langsamer und genau das will ich nicht!

zu 1:
Ok, das habe ich mir schon gedacht. Das heißt also, dass ich TrueCrypt nach jedem Kernel-Update (wahrscheinlich) neu installieren muss?

zu2:
Wenn die verschlüsselte Partition nicht gemountet ist, bringt das verschlüsselte Journal auch nichts. Nehmen wir an der Rechner stürzt durch einen Stromausfall ab - wie soll er nach dem Booten (verschlüsselte Partition wird nicht automatisch gemountet) irgendetwas wiederherstellen?
Bisher verwende ich ReiserFS (3 oder 4 = weiß ich jetzt nicht^^) und habe keine Probleme. Die CPU ist meistens recht unbeschäftigt.
 
Also eigendlich ist Blowfish das schnellste was es bei Truecrypt geht und das bei 448bit.
AES liegt nur in der mitte! schonmal nen bench mit Truecrypt gemacht? oder gibt es diese funktion in der linux ausgabe nicht?
 
eine verschlüsselungsmethode knacken ist ein schleichender prozess. für aes sind schon einige angriffe bekannt, auch wenn die methode immernoch als sicher gilt. das aes als erster aes-finalist geknackt wird ist ziemlich sicher.

ausserdem sollte man sich nicht davon blenden lassen das aes der gewinner bei dieser ausschreibung war. der grund warum aes "gewonnen" hat ist das er am einfachsten in hardware zu implementieren ist. er ist aber weder der schnellste noch der als am sichersten angesehenste gewesen. daher würde ich eher twofish(in der regel schneller) oder serpent(angeblich sicherer, und bei truecrypt je nach prozessor auch schneller als aes) verwenden, wenn man schon die wahl hat.


das journal wird beim mounten überprüft. wann gemountet wird ist da relativ egal ;). wiegesagt, welches fs ist für einen kleinens erver relativ egal, hauptsache es kümmert sich um die datensicherheit.
 
Hm, da ich bis jetzt keine Probleme mit ReiserFS hatte, werde ich es wohl wieder nehmen.

Als wie sicher wird denn Twofish angesehen, wenn es schon schneller ist? Ich meine mal gelesen zu haben, das einer dieser Algorithmen (Twofish oder Blowfish) sehr langsam sei...
 
naja mach doch einfach nen bench unter truecrypt, blowfish ist bei weitem schneller als die anderen algorythmen. im durchschnitt macht Blowfish 44,7MB/s , Twofish 37,5MB/s und AES 32,3MB/s bei 1MB dateien bis 50MB dateien ist die reihenfolge genauso größere dateien habe ich nicht getestet da es bei 11 Algorythmen die recht langsam sind sehr lange dauert.
 
Zuletzt bearbeitet: (Das Zweite sollte Twofish heißen!)
Und wie sieht es bei Twofish bezüglich der Geschwindigkeit aus? Hat es jemand von euch im Einsatz? Da es der Nachfolger von Blowfish ist, wäre dieser doch vorzuziehen.
 
seine ergebnisse hat der vorposter doch schon geschrieben.

allerdings sagt das nicht viel. kryptografische verfahren sind kompliziert. die geschwindigkeit hängt also enorm von der implementierung ab. die wirklich schnellen implementationen sind alle in assembler geschrieben - d.h. aber das es für jede prozessorarchitektur eine andere implementation gibt. ausserdem bringen verschiedene prozessordesigns der selben architektur sehr unterschiedliche werte.

so unterscheidet sich die rangfolge des trucrypt benchmarks bei meinem amd im 32bit modus deutlich von der meines pentium m notebooks. allerdings wären selbst meine windows ergebnisse nicht auf die linux version übertragbar, da ich ein 64bit linux benutze und somit nicht die selben implementationen benuzt werden können wie unter windows.


also: welches verfahren schneller ist kannst du nur selber rausfinden.
 
Im Server, wo die Datenpartition verschlüsselt werden soll, befindet sich ein älterer Athlon Thunderbird 800 MHz. Da ich auch eine möglichst hohe Datenübertragungsrate der Festplatte gewährleisten möchte, wäre Blowfish wohl die erste Wahl. Aber wie sicher ist Blowfish; so sicher kann es doch nicht sein, sonst gäbe es doch keinen Nachfolger in Form von Twofish?
 
tja da musst du dich dann selber informieren. blowfish ist soweit ich weiß jedenfalls noch nicht geknackt worden.

du solltest am besten einfach mal testen wie schnell trucrypt mit verschiedene verschlüsselungsmethoden ist. unter umständen sind einige davon schneller als deine festplatte - dann kannst du dir den aussuchen den du für am sichersten hälst.
 
Also ich kriege langsam Angst...

Erstmal zu Blowfish:
Er warnt, wenn ich das auswähle und sagt es hätte nur einen 64 Bit Block-Chiffre. Aufgrund der Plattengröße soll ich eine Verschlüsselung mit 128 Bit nehmen wie AES oder Twofish.

Wie dem auch sei; ich habe zum Test mal AES ausgewählt:

Er formatiert/verschlüsselt die Partition ja dann mit Zufallsdaten bei einer Übertragungsrate von 6 MB/s, was neun Stunden dauern würde. Auf meinem PC mit 3,2 GHz hat er es mit 20 MB/s oder mehr geschafft.

Ich glaube, so kann ich es gleich vergessen, denn dann wird auch nachher die Übertragung nicht über 10 MB/s steigen und der ganze Server wird total lahm sein bzw. der Fileserver.
 
versuch mal mit CAST
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Welche Hardware-Hersteller eignen sich besonders gut für Linux? Wie sind Eure Erfahrungen?
2 3
Antworten
47
Aufrufe
4.061
Linuxfreakgraz
Linuxfreakgraz
Dieter60
Wer hat Erfahrungen mit Tibber Pulse?
Antworten
11
Aufrufe
764
FourtHorseman
FourtHorseman
T
Theoriedienst digital übertragen, Erfahrungen und Tipps gesucht
Antworten
18
Aufrufe
771
Capet
Capet
Snoopy69
Wie erstellt ihr Volumen auf einem Laufwerk mit Veracrypt/Truecrypt?
Antworten
7
Aufrufe
829
BFF
BFF
Ultra_Force
Erfahrungen mit Tungsten Printix oder Alternativen für Druckmanagement gesucht
Antworten
6
Aufrufe
515
Phil_81
Phil_81

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz