Diskussion:Mit dm-crypt/luks verschluesselte Home-Partition beim Login einbinden
Inhaltsverzeichnis
Verwendung von aes-cbc unsicher
Laut Erfolgreicher Angriff auf Linux-Verschlüsselung (heise security 23.12.2013) ist die Verwendung des Ciphers 'aes-cbc' nicht mehr sicher. Das sollte hier (und an anderen Stellen) wohl gegen 'aes-xts' ersetzt werden!?! --Gehrke (Diskussion) 09:07, 7. Mär. 2014 (CET)
- Done --Gehrke (Diskussion) 21:40, 11. Apr. 2014 (CEST)
Bequemer ja, Sicherer nein
Ich halte diese Passage in der Einführung des Artikels für nicht korrekt:
Bequemer und sicherer wäre es, könnte das System das Login-Password an das Crypto-Filesystem weitergeben und erst beim Login das Homeverzeichnis einbinden (mounten).
Natürlich ist das bequemer. Aber es ist doch nicht sicherer, wenn nur die /home-Partition verschlüsselt wird und sämtliche anderen Bereiche unverschlüsselt bleiben. Damit wird einer Reihe von Angriffsszenarien Tür und Tor geöffnet, die die Systemintegrität untergraben und letztlich ebenso gut zur Kompromittierung der persönlichen Daten führen können.
Ich schlage vor, den Hinweis auf das 'sicherer' zu streichen und generell eine Einordnung/Abgrenzung der unterschiedlichen Verfahren zu geben (verschlüsseltes /home vs. Komplettverschlüsselung (ohne /boot)).
Weiterhin würde ich einen Hinweis hinzufügen, dass LUKS bis zu 8 individuelle Passphrases (via Slots) unterstützt, wodurch bei einem kleinen Nutzerkreis eben nicht die Notwendigkeit besteht, dass alle das selbe Passwort zur Entschlüsselung verwenden müssen. --Gehrke (Diskussion) 08:00, 28. Dez. 2014 (CET)
- Done. --Gehrke (Diskussion) 10:32, 22. Jan. 2015 (CET)
Update notwendig
Dieser Artikel stammt aus 2007 und bezieht sich auf OpenSUSE 10.2 bzw. 10.3. Ich habe die Details der damaligen Software nicht im Kopf, aber in aktuellen Releases (Stand heute 13.2) wird AFAIK die Verschlüsselung von /home mittels Wrapper cryptconfig umgesetzt, welcher dann LUKS als Container verwendet. Hier scheint eine Aktualisierung notwendig zu sein und die Verwendung von 'cryptconfig' sollte erklärt werden. --Gehrke (Diskussion) --Gehrke (Diskussion) 00:27, 29. Dez. 2014 (CET)
Kategorie YaST hinzugefügt
Auch wenn es hier vordergründig nur am Rande um YaST geht, habe ich diese Kategorie hinzugefügt. Einerseits wird dadurch erkennbar, dass es sich um ein SUSE-spezifisches Verfahren handelt, andererseits wird das in neueren Versionen (>=10.3) durch die Konfiguration innerhalb von YaST eingerichtet. --Gehrke (Diskussion) 09:56, 22. Jan. 2015 (CET)