Truecrypt für USB-Datenträger / Passphrase per Web-UI-Abfrage

[Chatty]

Hallo,

hat schon mal jemand versucht, TrueCrypt für MIPS zu kompilieren? Super wär natürlich als DS-Mod-Modul
Die Abfrage der Passphrase könnte dann per Web-UI geschehen.

Mal so als Anregung, falls sich da jemand ranmachen will, bevor ich dazu komme...

 

[lord-of-linux]

Hört sich teoretisch interessant an, doch frage ich mich, für was den USB oder so verschlüsseln? Und vor allem bezweifle ich, dass sich AES und seine Brüder mit wenig CPU zufrieden geben.

 

[Chatty]

Die Geschwindigkeit an der Box ist nicht mein Kriterium. Wenn ich die Platte aber abziehe und mit ihr unterwegs bin, soll niemand durch zu Zufall (Verlust) oder Absicht (Raub) auf den Inhalt zugreifen können. Das ist wie das Abschließen der Wohnungstür. Natürlich wurde zuziehen reichen (unverschlüsselte Platte), aber mit herumgedrehten Schlüssel (verschlüsselte Platte) fühlt man sich sicherer (nicht einfach so, sondern weil es tatsächlich so ist).

 

[ao]

Ich nehme an, dass Du die Keyfiles Deines mit TC verschlüsselten Mediums auf einem USB-Stick ablegen willst. Das mache ich genauso für meinen PC.
Noch besser: Sobald mein USB-Stick am PC hängt, startet TC vom Stick (traveller mode) und das verschlüsselte Medium am PC wird mittels der Keyfiles gemounted. So muss ich kein Passwort eingeben, sondern eben nur den USB-Stick anschließen. Ein Autorun mit einem USB-Stick (ja, könnte auch ein Risiko darstellen, ich weiß) geht z.B. mit USBAgent (c't 23/2005) o.ä. Tools.

Zur Performance könnte man den Versuch vergleichen, auf einem NAS eine Verschlüsselung (loop-AES auf der NSLU2) zum Laufen zu bringen. Auf der NSLU2 mit gemoddeter FW (DebianSlug) läuft ein littleEndian Debian-ARM-System.
Die Transferraten leiden natürlich unter der Verschlüsselung - 60MB großes, aus Nullen bestehendes Image:

ohne Verschlüsselung:
real: 0m 18.774s
user: 0m 0.002s
sys: 0m 0.876s
> 3 MB/s mit einer übertakteten NSLU2 (bzw. CPU-Drosselung aufgehoben)(*)

mit loop-AES Verschlüsselung:
real: 0m 50.315s
user: 0m 0.002s
sys: 0m 0.885s
~1 MB/s(*)

*Laut nAnL-Artikel

Inwiefern System, CPU und Speicher der NSLU2 mit der Fritzbox zu vergleichen sind, weiß ich nicht.

Jedenfalls finde auch ich die Idee gut, das mal für die Fritzbox als ds-mod Modul zu versuchen und hoffe, dass jemand genügend Ahnung hat, das zu starten (leider kann ich nicht damit dienen).

 

[S.Oliver]

Das wäre auch für mich interessant, weil ich den USB stick per samba auf meinen Rechner mounte und so mit den Keyfiles meine Raids mounte. Der USB Stick verschwindet zwar sofort wieder nach dem reboot, allerdings wäre es so noch ne ganze Ecke sicherer. Truecrypt ist deswegen praktisch, weil man es auch auf anderen Rechner mounten könnte. Ansonsten würde es aber vielleicht auch loop-aes o. ä. tun.

 

[Chatty]

Hmm... noch keine Ergebnisse - schade. Eine Idee, die mir gerade durch den Kopf schwirrt ist, die WLAN-Hardware zur AES-Ver- und Entschlüsselung zu benutzen. Die kann das ja mit 108 MBit/s (immerhin 13,5 MB/s).

 

[martian]

In der Readme des aktuellen Truecrypt-Sourcecodes steht u.a. folgendes zum kompilieren vom Truecrypt:

Requirements for Building TrueCrypt for Linux:
----------------------------------------------

- Standard development tools: make, gcc, ld, strip

- Source code of the Linux kernel, version 2.6.5 or higher/compatible.
The version of the kernel source code and its configuration must match the
one under which you will be running TrueCrypt. Linux kernel sources are
available at: http://kernel.org/pub/linux/kernel/

und folgendes zum starten von Truecrypt unter Linux:

Requirements for Running Truecrypt on Linux
-------------------------------------------

- Linux kernel version 2.6.5 or any higher/compatible version.

- Device mapper (dmsetup, http://sources.redhat.com/dm) and loop device
(losetup) infrastructure, which are available in all major Linux
distributions.

Ich denke, daran scheitert das ganze erstmal...die Fritzboxen haben doch einen älteren Kernel und keinen device mapper, oder (korrigiert mich bitte)?

 

[knox]

eine andere lösung zur festplattenverschlüsselung ist loop-aes.
das funktioniert auch mit 2.4er kernel und arbeitet zuverlässig.

 

[Chatty]

So schön Loop-AES auch ist, es lässt sich nicht unter Windows nutzen. Für die Linux-Dateisystem gibt es ja schon Windowstreiber. Wenn TrueCrypt jetzt noch mit den Schlüsseln von Loop-AES umgehen könnte - prima.

Aber an sich hast du recht, lieber eine (gute) Verschlüsselung, als gar keine. Um die Kompatibilität kann man sich auch noch später kümmern. Ist ja zumindest beim Zugriff auf den ext. Datenträger über die FB auch gar nicht notwendig (FB ver-&entschlüsselt).

 

[p_body]

Ich hätte da nur mal eine vorsichtige Frage, ob sich in der Zwischenzeit schon jemand erbahmt hat, etwas dieser Art zu erzeugen - das wäre genau das, was ich momentan auch suche!

Ich möchte einen Datenträger oder eine Containerdatei verschlüsseln und nach reboot die Passphrase über ein Web-Interface eingeben um die Daten wieder nutzen zu können.

 

[Kasper4711]

Wäre EncFS evtl. ne Alternative? -> http://arg0.net/encfs

Benötigt werden FUSE, rlog und OpenSSL. Als Verschlüsselung kann da u.a. auch Blowfish verwendet werden:

The following cipher algorithms are available:
1. AES : 16 byte block cipher
-- Supports key lengths of 128 to 256 bits
-- Supports block sizes of 64 to 4096 bytes
2. Blowfish : 8 byte block cipher
-- Supports key lengths of 128 to 256 bits
-- Supports block sizes of 64 to 4096 bytes
3. blowfish-compat : algorithm compatible with EncFS 0.2-0.6
-- key length 160 bits
-- block size 64 bytes

Ich benutze das Teil bereits für meine Remote-Backups.

 

[binduli]

Hallo Zusammen,

hat sich in die Richtung inzwischen was getan?
Wäre echt super!

Gruß Uli

 

[holofox]

Hab mal versucht TrueCrypt für Mips zu komplieren und fast die Zähne ausgebissen :-(
Werde aber auf jeden Fall mal wieder eine Aktion starten...

 

[turbo_igel]

och ja. das wäre doch mal interessant, wenn ich per FTP o-ä. auf meine truecrypt-verschlüsselte partition auf meinem USB-speicher an der FRITZ!Box zugreifen könnte.

 

[knox]

per FTP o-ä. auf meine truecrypt-verschlüsselte partition auf meinem USB-speicher an der FRITZ!Box zugreifen

Oh ja, sehr lustig: mit einem an sich unverschlüsselten Protokoll einfach Directory Listing und wohlmöglich sogar Daten von der ach so sicher verschlüsselten Platte quer durch's Internet juckeln.

[Edit knox: Zitat vom Beitrag wieder eingefügt, um Kontext wieder herzustellen]

 

[turbo_igel]

[Edit frank_m24: Siehe oben]

hm tja. stimmt schon im prinzip. komischerweise geht es mir aber nicht um sicherheit vorm internet, sondern wenn die hd jemandem unbefugtem in die hände fällt. ok ich geb zu ist widersprüchlich, aber bedarf wäre da. das zeigen ja auch die anderen beiträge.

 

[meilon]

[Edit frank_m24: Und Nr. 3]
Den Transfer könnte man ja dann durch einen verschlüsselten Tunnel machen

 

[kriegaex]

Moderatoren-Hinweis: Würdet Ihr wohl bitte alle miteinander damit aufhören, ständig (Voll)zitate von Vorgängernachrichten in Eure eigenen Beiträge aufzunehmen? Die Forenregeln erwähnen das auch.

 

[rebuss]

Mhhhh, warum kreirt ihr euch keine TrueCrypt Containerdatei auf der USB Festplatte, steckt die Festplatte dann an die Fritz und mountet anschließend dann das ganze auf eurem Rechner über die neue Samba Firmware? Dann hat die Fritz gar nichts mit der Ver oder entschlüsselung zu tun sondern das macht der PC.

Ist jetzt nur eine Idee. Probiert habe ich es selbst nicht

Grüße

 

[Whoopie]

Hi,

hab mal truecrypt kompiliert. Man braucht aber zudem das dm-mod und loop Kernelmodul, dmsetup und losetup.
losetup ist in busybox enthalten, es gibt aber Probleme. Und da komme ich nicht weiter.

Weiterhin müsst Ihr noch zwei /dev Dateien erzeugen:

mkdir /dev/mapper
mknod /dev/mapper/control c 10 62
mknod /dev/mapper/truecrypt0 b 254 0

Anbei das Archiv mit den Dateien. Die Module sind für FW 29.04.49.
Und die Fehlermeldung von losetup, die ich mit strace gesehen habe.

Beste Grüße,
Whoopie