Server platte verschlüsseln?

[ulfh10]

1. Bitte lest alles bevor ihr antwortet.
2. Danke

Ich spiele mit dem Gedanken meine Server platte wieder zu verschlüsseln, bzw. eine einzelne Partition.
Jedoch kam mir da der Gedanke, war da nicht mal das Problem das es keine "Live" ver-/ent-schlüsselung gibt, sondern eben nur dieses "pseude" verschlüsselte was nur dann verschlüsselt ist wenn ich kein PW eingegeben habe. Sprich hängt sich mein hoster einfach einen Adapter zwischen MB und HDD/SSD war's das mit dem verschlüsselt.

Hat sich da etwas geändert, also gibt es die Möglichkeit Daten verschlüsselt zu bearbeiten, bzw. erst in der Recheneinheit zu entschlüsseln und wieder zu verschlüsseln?

Nun an alle die es nicht abwarten können, natürlich bringt es etwas die platte auch so zu verschlüsseln. Sollte mein hoster so blöd sein und den Server aus dem Rack nehmen (shutdown) und ihn dann erst untersuchen. [Was ich btw. vor habe, sofern es nicht "besseres" gibt, bekanntlich sind Menschen ja blöd ^^]

Nun an alle Schwarzmaler.
Ich frage wegen privaten Dateien, die teilweise nicht alle mir gehören. Sprich, Urlaubsbilder, kleinere Spiele. Alles im Ramen der Legalität, mir gefällt einfach der Gedanke nicht sollte mal etwas schief laufen eben einfach mal "Testweise" schaut wer denn was hat.
Klar machen die sowas nicht, ich hab nen Vertrag mit denen der besagt das die das erst machen wenn es illegal wird, genau wie die NSA die auch nur Daten gesammelt hat weil die ganze Welt illegal ist, sonst würde man doch selbst gegen recht und Gesetz verstoßen

An den Rest.
Debian 7 64 bit
1,5 - 2 TB komplett oder Partitionsweise verschlüsselt.

Grüße

 

[benneq]

Hast du nicht vor ein paar Tagen gelernt, dass man Urlaubsbilder nicht in der Cloud speichern sollte? https://www.computerbase.de/2014-09/icloud-hack-sicherheitsluecke-geschlossen-apple/

Zweiter Gedanke: Du könntest dir auch einen Server in deine Wohnung stellen. Dann hast du die volle Kontrolle.


Und nun der relevante Part:
Die Daten sind immer irgendwo unverschlüsselt, schließlich muss der Rechner ja damit arbeiten. Im CPU Cache und RAM kann man sie im Klartext auslesen - mit entsprechend großem Aufwand.
Auf dem Kabel zur Festplatte sind sie verschlüsselt, wenn sie von der CPU verschlüsselt werden.
Moderne Festplatten bringen zum Teil eigene AES Verschlüsselungsfunktionen mit, da wird dann natürlich erst auf der Festplatte selbst verschlüsselt und der Weg von HDD zu CPU ist unverschlüsselt.

 

[ulfh10]

Ich könnte nicht nur, ich habe.
Jedoch gibt es bei mir in der Wohnung max. 50k und selbst wenn ich 150er bekommen könnte, sprechen wir von Download, ich brauch Upload ^^
Zur immer irgendwo unverschlüsselt:
Deswegen der Part mit dem verschlüsselt bearbeiten, ich meine es ist ca. 3 Jahre her seit ich mit dem Thema Verschlüsselung befasst habe, es hätte ja sein können das sich mittlerweile etwas brauchbares gefunden hat.
Nichts ist unmöglich

 

[benneq]

Doch, das IST unmöglich. (zumindest für Privatpersonen. Man braucht einen speziellen FPGA, der quasi die Operationen vorverschlüsselt, sodass die CPU am Ende korrekte Ergebnisse ausspuckt. Sowas wird sicherlich beim Militär benutzt. Passende Chips und Treiber wirst du wohl nirgends finden . Und das andere Problem ist, dass der Schlüssel trotzdem irgendwo vorhanden sein muss und wenn er in einem geschützten Bereich im FPGA liegt. Allerdings bräuchstest du dann Zugriff auf die Hardware der Server. Und es ist garantiert nicht dein Server, sondern ein gesharter Server auf dem du eine VM hast)

Der Rechner muss verstehen, was er mit den Daten machen soll (und sei es nur die Addition +1). Wenn diese verschlüsselt sind, sind die Bits nicht mehr in der richtigen Reihenfolge. Woher soll er nun wissen, wo er die 1 addieren soll?

Du könntest natürlich den kompletten Datenstrom verschlüsseln und den Server nur als Proxy zu den Festplatten benutzen. Dann würdest du die Daten auf deinem Heimrechner verschlüsseln und hochladen. Beim Runterladen werden sie dann auch erst auf deinem Heimrechner entschlüsselt.

Wie hast du es denn aktuell auf dem Server geregelt? Da musst du ja auch irgendwo den Schlüssel für die Daten hinterlegt haben.

 

[blöderidiot]

es hätte ja sein können das sich mittlerweile etwas brauchbares gefunden hat.
Nichts ist unmöglich

Pseudosequenz:

$ sshfs ulfh10@hosted.server: ulfgeheim/
$ cryptsetup luksOpen ulfgeheim/disk.img disk
$ mount /dev/mapper/disk /home/ulfh10/

etwa so hier.

 

[ulfh10]

Der alte war klassisch und simpel via Passphrase -> mount bei bedarf, der neue soll jedoch dieses Hinderniss nicht mehr haben. Da es doch immer wieder nerfig war die shell zu öffnen und die Partition zu mounten

genau so wie blöderiditot vorgeschlagen hat

 

[benneq]

Ja, das hab ich ja oben schon genannt. Remote Verschlüsselung und den Server nur noch als Proxy zu den Festplatten nutzen. Dann musst du halt immer deinen Key mit dir Rumschleppen, damit du Zugriff hast.

 

[ulfh10]

nunja, schade die welt häte so schön sein könne. Ich Träum dann mal weiter von den unmöglichen dingen ;(

Thema ist somit fertig und kann begraben werden

:rip