---

Geschrieben von Vimes am 16.05.2007 um 22:52:

  LUKS, cryptdm und Debian

Guten Abend,

nachdem ich nun seit einer Weile stolzer Besitzer eines gebrauchten Thinkpad T23 bin, war es an der Zeit, mir um die Sicherheit meiner Daten Gedanken zu machen.

Dabei geht es um solche Dinge wie POP3-Paßwörter und zugehörige Login-Namen, gnupg-Schlüssel und ähnliche Geheimnisse, die schlicht nicht in fremde Hände gehören (ok, das Paßwort für meine gnupg-Schlüssel liegt nicht auf der Festplatte, aber trotzdem müßte ich die Schlüssel sicherheitshalber zurückziehen).

Eine kleine Recherche ergab, daß Debian testing mittlerweile brauchbar verschlüsselte Festplatten unterstützt, und zwar direkt bei der Installation via LUKS/dmcrypt.
Eine weitere Recherche ergab, daß der mit Verschlüsselung verbundene Leistungsverlust so schlimm gar nicht nicht (wers nachlesen mag: http://www.tomshardware.com/2006/08/18/locking_up_linux-creating_a_cryptobook/page7.html ).

Also die neueste CD vom Debian-Server gezogen (die Version vom 02. Mai hatte einen häßlichen Bug, der das Anlegen von verschlüsselten Partitionen nicht erlaubte), geführte Partitionierung auswählen, dort LVM und verschlüsselt und alles wird wunderbar vorgeschlagen. Noch wählen, welche Partitionen separat angelegt werden sollen (/home) und fertig ist der Lack.
Paranoiderweise ziehe ich es vor, bis auf /boot, wo so schrecklich geheime Dinge wie meine Kernel liegen, alles zu verschlüsseln - auch /temp und natürlich die Swap-Partition.

Da das ganze in einem "Logical Volume" liegt und gesamt verschlüsselt wird, ist beim Systemstart nur ein Paßwort einzugeben, dann wird alles entschlüsselt und eingehängt. Sehr bequem.

Gigantische Leistungseinbußen kann ich auf Anhieb nicht erkennen - es fiele eh nicht sonderlich ins Gewicht, das T23 ist so oder so kein Rennpferd.

Insgesamt: sehr gelungen, das in den Installer zu integrieren.

MfG
Vimes