Full Volume Encryption

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.031
Punkte für Reaktionen
2.120
Punkte
289
Wenn es verschlüsselt erstellt wurde, sollte das auch so bleiben. Wie spielst du das Backup ein bzw. wie erstellt?

Bin auch gerade durch. Ja, komplettes Backup stellt die Volumes so, wie sie waren, wieder her. Also unverschlüsselt.

Mit dem "Packages and Folders" Backup kannst du auf ein neues, verschlüsseltes Volume wiederherstellen. Ein paar Paket-Settings haben es nicht überlebt, die Daten sind aber alle da. Mach die viele Screenshots von den Settings.

Darauf zielte meine Frage ab. Bei der Wiederherstellung mit HB „gesamtes System“ war das zu erwarten, da auch die Volumes im entsprechenden Ursprungszustand wiederhergestellt werden.
 

Dasuku

Benutzer
Mitglied seit
10. Jan 2023
Beiträge
11
Punkte für Reaktionen
3
Punkte
53
Kann man dem Schlüsselmanager eigentlich in Sachen Sicherheit vertrauen, wenn der das Volume dann mit dem Rechnerschlüssel startet?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.031
Punkte für Reaktionen
2.120
Punkte
289
Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.
 

mexl916

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
20
Punkte für Reaktionen
5
Punkte
3
Gibt es eine Möglichkeit zu testen, ob der heruntergeladene Wiederherstellungsschlüssel auch wirklich funktioniert?

Danke & Gruß
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.031
Punkte für Reaktionen
2.120
Punkte
289
  • Like
Reaktionen: Thonav

Dasuku

Benutzer
Mitglied seit
10. Jan 2023
Beiträge
11
Punkte für Reaktionen
3
Punkte
53
Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.
 

mexl916

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
20
Punkte für Reaktionen
5
Punkte
3
@maxblank
Wie kann ich den Key aus dem Schlüsseltresor entfernen?

Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."

Den Schlüsseltresor kann ich auch nicht einfach deaktivieren, Dialog sagt:
"Schlüsseltresor kann nicht deaktiviert werden, wenn verschlüsselte Volumes vorhanden sind."

Was funktionieren könnte, ist DSM zurückzusetzen (was ich eigtl. nicht versuchen will):
"Wenn Sie DSM zurücksetzen, wird der Schlüsseltresor gelöscht und deaktiviert, d. h. Ihre verschlüsselten Volumes werden gesperrt. Um erneut Zugriff auf diese Volumes zu erlangen, müssen Sie den Tresor erneut aktivieren und jedes verschlüsselte Volume mit dem entsprechenden Wiederherstellungsschlüssel entsperren."
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.031
Punkte für Reaktionen
2.120
Punkte
289
Du kannst den nicht entfernen? Dann weiß ich es leider auch nicht, hattet das so explizit nicht getestet.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Also ernsthaft Probieren kannst Du es nur wenn Du eben mindestens den einfachen Reset nutzt. Das ist ja genau das Szenario bei dem der Schlüsselmanager greifen muss, nämlich Dein verschlüsseltes Laufwerk in dem Moment vor nicht autorisierten Personen zu schützen.
 

mexl916

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
20
Punkte für Reaktionen
5
Punkte
3
Verstehe ich euch richtig, dass ihr es als nicht so wichtig anseht die Volume Encryption zu testen?
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.031
Punkte für Reaktionen
2.120
Punkte
289
Hat niemand behauptet.
Ich hebe vor dem Einsatz ausführliche Test mit erfolgreichen Wiederherstellungen gemacht und die auch hier dokumentiert. Allerdings nie den Key separat getestet - das habe ich oben gemeint. Das war bei der Wiederherstellung inkludiert.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.001
Punkte für Reaktionen
1.607
Punkte
308
Einfach den Schlüsseltresor zurückzusetzen bringt es laut Hilfe nicht:
"Sie können den Schlüsseltresor zurücksetzen, um seinen Speicherort zu ändern oder das Kennwort für den Tresor zurückzusetzen. Wenn der Tresor zurückgesetzt wurde, werden auch alle darin gespeicherten Verschlüsselungsschlüssel zurückgesetzt und durch neue ersetzt."
Der fett hervorgehobene Teil würde ein Umverschlüsseln der Volumen nach sich ziehen. Ich bezweifel dass das stattfindet.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
@mexl916 D.h. es wurde automatisch entschlüsselt? Wäre hilfreich wenn Du präziser hinsichtlich Vorgehensweise und des Ergebnisses wärst :)
 
  • Like
Reaktionen: peterhoffmann

mexl916

Benutzer
Mitglied seit
03. Jan 2014
Beiträge
20
Punkte für Reaktionen
5
Punkte
3
  • Like
Reaktionen: maxblank und dil88

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Da danke ich Dir aber herzlich für die Erklärung. Nun wissen wir alle, dass die Nutzung von verschlüsselten Laufwerken bei Diebstahl der DS durchaus hilfreich sein kann und systemseitig sicher ist. :)
 

metalhead79

Benutzer
Mitglied seit
03. Nov 2011
Beiträge
74
Punkte für Reaktionen
8
Punkte
8
Darüber gibt es verschiedene Thesen, ob und wie das ausgelesen werden kann.
Meines Wissens nach hat es bisher zumindest noch niemand public gemacht.
Du könntest versuchen das Keyfile zu decodieren, dann solltest du deine eigens vergebene Passphrase wieder erkennen.

printf "%s" "\$1\$5YN01o9y" | ecryptfs-unwrap-passphrase keyfile.key -

So siehst du auch, ob der Wiederherstellungsschlüssel funktionieren würde.
Das wäre ihr Preis gewesen und damit ist schon alles über die Sicherheit des Passworttresors gesagt. --> Nicht existent!
Das ist wirklich erschreckend was da abgeliefert wird. Die Verschlüsselung ist super sicher, aber das Passwort wird mit einem Postit außen aufs Gehäuse geklebt.

Gruß Metalhead
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.043
Punkte für Reaktionen
1.073
Punkte
194
Also du hast es so versucht und konntest über diesen Weg den Key Extrahieren ?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat