Kyrptering Linux Mint och VeraCrypt

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Kyrptering Linux Mint och VeraCrypt

Hej. Håller på att byta från win7 till Linux Mint.
Nu kommer en kanske dum fråga men vågar man inte ställa dumma frågor lär man sig inget..
Använde TrueCrypt på win7 och där kunde man lätt kryptera hela diskar och även system disken. Efter veckovis med läsning så verkade det som TrueCrypt va "the-shit" och säkert.
Tänker då i samma banor då jag ska kryptera min nuvarande Linux setup. När jag installerade Linux Mint så valde jag att systemet skulle krypteras med Linux egna system + home folder. Jag tänkte då att när jag installerar VeraCrypt så väljer jag även där att kryptera med VeraCrypts då det blir då superdunder säkert med dubbla krypteringar. Men nu när jag installerat VeraCrypt så kan man inte välja att kryptera systemdisken. Är det för att jag redan valt Linux egna kryptering eller erbjuder dom ingen system kryptering för Linux överhuvudtaget?
Bifogar en bild på skillnaden mellan valen på win10 och Linux Mint

// Benz

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Dubbla krypteringar ökar inte säkerheten speciellt mycket som många tror i avseende brutal-force attack. Samma sak när man kör flera chipher efter varandra som man kan göra med veracrypt - det kanske ökar attacktåligheten (aka entropin) med någon enstaka bit (dvs dubbelt i tidsåtgång, inte några miljoner gånger säkrare som många har fått för sig)

En i framtiden upptäckt genväg på vek nyckelhantering för den yttre volymen så kan ett annat kryptosystem innanför vara en avsevärd hinder (om den har annat passord/passfras vill säga) , men annars är fördelen två lager kryptering ur angreppspunkt väldigt liten gentemot att bara ha en kryptosystem igång och dubbelt system ger mest bara nackdelar med högre resursåtgång på HW-sidan i hanterandet.

Den bästa säkerhetsåtgärden är att använda en passord/passfras med hög entropi - dvs. maskingenererat med alla skrivbara tecken inkluderat. I princip har alla knäckningar som gjort hittills, har nästan alltid berott på för vek passord och/eller brister i vek nyckeladministration kring arkivet.

Tror inte att det finns något känt fall ännu på tex. AES där man lyckats attackera själva arkivet och chiphern för arkivet.

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Har testat runt lite nu i några dagar, men får inte till det.
Testat både VetaCrypt gui och TrueCrypt gui, får till allt utom att det ska automountas när jag loggar in. Någon som kan vägleda mig?
Eller kan ni rekommendera något annat gui krypterings program?

// Benz

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2008

Har inte labbat med det, men antingen skulle jag köra DM-crypt (som är inbyggt) eller VeraCrypt, inte båda. Det finns ingen poäng med dubbel diskkryptering och gör nog bara allting slöare.

|[●▪▪●]| i5-6600k@4,4GHz >-< GB-Z170X-GM3 >-< 16GB DDR4 >-< MSI GTX 1070 >-< BX100 250GB SSD>--
--< Be Quiet! Pure Rock >-< FD Define R4 >-< Seasonic F.+ 650W >-< Acer XF270HUA >-< AOC Q2778VQE |[●▪▪●]|

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Okej. Vi skippar dubbelkryptering.
Försöker nu få Veracrypt att mounta då jag loggar in.

Skickades från m.sweclockers.com

// Benz

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Om vi räknar bort TrueCrypt och VeraCrypt, vad rekommenderar ni för gui program för att kryptera flera diskar och HELST ska allt mountas vid boot. Ett lösen för kryptering och ett lösen för att logga in på usern.

// Benz

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2010

Precis som tidigare nämnt så tycker jag att du ska fortsätta kryptera dina diskar med DM-crypt. Då kan du välja vilka diskar som ska låsas upp när du knappar in din nyckel vid boot.

MBA 11" mid 2012 - Arch Linux

Citera så hittar jag tillbaka!

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004
Skrivet av Tejprullen:

Precis som tidigare nämnt så tycker jag att du ska fortsätta kryptera dina diskar med DM-crypt. Då kan du välja vilka diskar som ska låsas upp när du knappar in din nyckel vid boot.

Sorry,,,är trött..
Finns det något gui till DM-crypt? Hur är säkerheten jämnfört veracrypt?
Ifall systemet krashar, kan jag ta en krypterad disk med dm-crypt till en annan linux mint dator - mounta och komma åt innehållet?

// Benz

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Snubblade precis över detta när jag läste om DM-crypt.
Zulucrypt och zulucmount, ska även kunna hantera truecrypt och veracrypt diskar.
http://mhogomchungu.github.io/zuluCrypt/

// Benz

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2010

Förutom att skapa den krypterade hårddisken är det inte speciellt komplicerade eller långa kommandon du behöver använda för att montera dina volymer.
Finns finfina guider på archlinux wiki.
https://wiki.archlinux.org/index.php/dm-crypt
Väldigt mycket behöver du inte, men jag rekommenderar att du leker runt lite med detta så du blir lite bekväm med verktygen. När du gjort detta så kommer det kännas väldigt integrerat med systemet och behovet för ett GUI verktyg helt borta.

MBA 11" mid 2012 - Arch Linux

Citera så hittar jag tillbaka!

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Hittade en bra stegförsteg guide för dm-crypt och som är vinklad till en secondary drive.
Här beskriver dom att göra en keyfile för att den ska bootas automatiskt med systemet.
https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive...
Dum fråga men jag måste ställa den. Ifall min system disk/ssd ger upp, kan jag installera på annan systemdisk, och då låsa upp den krypterade secondary hddn utan keyfile och endast med lösen?

// Benz

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016

@Benz0187: Förstår inte frågan riktigt, men om du har en disk som din keyfile ligger på och den inte går att återskapa så nej då går det inte att göra som du önskar, för att göra som du vill så rekomenderar jag att lägga till ett lösenord med luksAddKey du har ju 9 platser du kan använda för olika vägar att låsa upp din enhet.

Varför inte bara göra en backup av din key? Att använda sig av keyfile men inte ha en stabil backup är ingen bra idé.

Skrivet av Benz0187:

Sorry,,,är trött..
Finns det något gui till DM-crypt? Hur är säkerheten jämnfört veracrypt?
Ifall systemet krashar, kan jag ta en krypterad disk med dm-crypt till en annan linux mint dator - mounta och komma åt innehållet?

Inte desvärre så vitt jag vet men varför skall du behöva det? Kryptera enheten och sedan släng in ett alias om du inte kan komma ihåg det simpla kommandot, eller kör ett bash script helt enkelt? Exempelvis så här gör du:

Öppna en text editor nano är super enkel om du inte är van med cli.

Benz0187@hostname:~ nano mount.sh

Lägg till något i stil med:
#!/bin/bash
cryptsetup --key-file whereverthekeyis.bin luksOpen /dev/mapper/sdx
mount /dev/mapper/sdx /mnt/sdx
echo -e "\n..Done\n"

När du bootar din dator om du inte krypterat / så ha inte keyfilen på / men har du en krypterad / så bara lägg nyckeln någonstans och när du vill mounta disken så öppnar du terminalen och skriver ./mount.sh och det är klart exempelvis, varför göra det krångligt? Nu hitta du en värdelös guide med lite info om hur man automountar med en keyfile men om du inte pallar /etc/crypttab och minns nästa gång hur man gör så är det bara att skapa ett alias till mount.sh eller skriva mount.sh så slipper du vänta på dmcrypt under boot då det tar några sekunder om du använt iter-time 5000 vid krypteringen vilket rekomenderas.

Naturligtvis kan du det, du kan bara boota upp med valfri livecd och öppna din crypterade enhet, superenkelt.

cryptsetup --key-file /path/to/key luksOpen /dev/sdx sdx
mount /dev/mapper/sdx /mnt/tmp

Du har då tillgång till din data igen, super enkelt.

Skrivet av Benz0187:

Snubblade precis över detta när jag läste om DM-crypt.
Zulucrypt och zulucmount, ska även kunna hantera truecrypt och veracrypt diskar.
http://mhogomchungu.github.io/zuluCrypt/

What is the problem mate? Du frågar frågor som om du inte varit intresserad utan bara krypterat för att kryptera för att det låter som en bra idé, cryptsetup --help är magisk, klart du kan hantera true/veracrypt:
cryptsetup --debug --veracrypt tcryptOpen device/partition veracrypt
Skriv lösen, mounta och det är klart.

Bara fråga om du undrar något, inga frågor är dumma har mycket stor erfarenhet av dmcrypt, kan inte så mycket om veracrypt och allt därtill då jag kör linux och dmcrypt är super powerful, men jag hade jag varit snut och viljat öppnat din krypterade disk/partition whatever hade jag önskat att du kört med true/veracrypt såklart för vet inte om det har stöd för delays exempelvis men whatever, kör gentoo själv, aldrig använt mint men bara installera hashcat värdelns bästa och snabbaste attacker för passwords och det är öppen källkod, har du tur har personen ett dåligt lösenord och du har dekrypterat veracrypt volymen på nolltid, attackera volymen enkelt genom att skriva in: 'hashcat -m 13721 --outfile=bingo.txt /mnt/windows/desktop/veravolume words.txt"

Veracrypt är helt åt helvete dålig ser jag nu, dom har ju inte stöd för keyfiles för en krypterad / - För att? Den suger.

Keyfiles ftw!

PS: Kör SD kort istället för usb om du är riktigt paranoid, dom är byte-sized

Edit: Din länk till guide såg helt värdelös ut och jag fick ont i huvudet direkt, men jag hoppas inte att du har en keyfile som inte är skyddat med gpg-kryptering?

Gör en ny keyfile isåfall är min högsta rekomendation, du gör så här ist då:
Benz0187 # dd if=/dev/urandom count=64 | gpg --symmetric --cipher-algo twofish-xts-plain64 --armor > /path/to/key.gpg
Benz0187 #gpg --decrypt /path/to/key.gpg | cryptsetup luksFormat ochduvetvadmanskaskriva

För att öppna enhetenskriv bara:
root #gpg --decrypt /path/to/key.gpg | cryptsetup open ochduvetvadmanskaskriva

använd naturligtvis inte key.gpg som namn på nyckeln, hoppas jag svarat lite på dina frågor iaf.

MVH

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/

Trädvy Permalänk
Medlem
Plats
Kramfors
Registrerad
Dec 2004

Hmm, detta vart mer invecklat än jag trodde
Anledningen till att jag gärna vill ha ett gui som veracrypt och zulucrypt är att jag är inte alls hemma i kommandotolken. Får sitta och copy paste kommandon.
Följde den där guiden som jag länkade till innan och testade med en av mina diskar och allt fungerade kanon. DOCK när jag kopplade in disk nr4 och bootade fick den samma /dev/sdd1 namn som diskarna jag just fixat förra booten. Vilket leder till problem i fstab och crypttab.
Tidigare när jag arbetat i fstab (på testbuilds INNAN kryptering) så har jag använt UUID i fstab istället för sdd1 namnen och har fungerat perfekt oavsett om jag kopplat in och ur diskar - bytt sataportar m.m.
Kan man inte använda nått UUID i crypttab istället för ex. sdd1_crypt ? Och samma fråga gäller för fstab.

Gällande keyfile så hade jag missförstått (tror jag). Omformulerar frågan;
Som jag fattat det rätt så är det så här: När jag sätter krypterar en volym får jag ange ett lösenord. En keyfile lagrar mitt lösenord till den krypterade volymen och bl.a använder den vid boot så jag slipper skriva in flera lösen.
Min fråga var att ifall disken där min keyfile ligger på dör, kan jag då exempelvis ta min andra krypterade disk, till en helt annan dator och kunna låsa upp den endast med lösenordet för att rädda/komma åt datan på disken.
Förlåt mig och jag är otydlig och okunnig, och tack för att ni tar er tid.

Som tidigare nämnt så använde jag mig av länken i tidigare inlägg https://davidyat.es/2015/04/03/encrypting-a-second-hard-drive... och du får gärna utveckla vad du inte gillade med den och gärna lägga till de sudo kommandon jag ska köra istället för att ex. skapa keyfile.

Skrivet av wuseman:

@Benz0187: Förstår inte frågan riktigt, men om du har en disk som din keyfile ligger på och den inte går att återskapa så nej då går det inte att göra som du önskar, för att göra som du vill så rekomenderar jag att lägga till ett lösenord med luksAddKey du har ju 9 platser du kan använda för olika vägar att låsa upp din enhet.

Varför inte bara göra en backup av din key? Att använda sig av keyfile men inte ha en stabil backup är ingen bra idé.

Inte desvärre så vitt jag vet men varför skall du behöva det? Kryptera enheten och sedan släng in ett alias om du inte kan komma ihåg det simpla kommandot, eller kör ett bash script helt enkelt? Exempelvis så här gör du:

Öppna en text editor nano är super enkel om du inte är van med cli.

Benz0187@hostname:~ nano mount.sh

Lägg till något i stil med:
#!/bin/bash
cryptsetup --key-file whereverthekeyis.bin luksOpen /dev/mapper/sdx
mount /dev/mapper/sdx /mnt/sdx
echo -e "\n..Done\n"

När du bootar din dator om du inte krypterat / så ha inte keyfilen på / men har du en krypterad / så bara lägg nyckeln någonstans och när du vill mounta disken så öppnar du terminalen och skriver ./mount.sh och det är klart exempelvis, varför göra det krångligt? Nu hitta du en värdelös guide med lite info om hur man automountar med en keyfile men om du inte pallar /etc/crypttab och minns nästa gång hur man gör så är det bara att skapa ett alias till mount.sh eller skriva mount.sh så slipper du vänta på dmcrypt under boot då det tar några sekunder om du använt iter-time 5000 vid krypteringen vilket rekomenderas.

Naturligtvis kan du det, du kan bara boota upp med valfri livecd och öppna din crypterade enhet, superenkelt.

cryptsetup --key-file /path/to/key luksOpen /dev/sdx sdx
mount /dev/mapper/sdx /mnt/tmp

Du har då tillgång till din data igen, super enkelt.

What is the problem mate? Du frågar frågor som om du inte varit intresserad utan bara krypterat för att kryptera för att det låter som en bra idé, cryptsetup --help är magisk, klart du kan hantera true/veracrypt:
cryptsetup --debug --veracrypt tcryptOpen device/partition veracrypt
Skriv lösen, mounta och det är klart.

Bara fråga om du undrar något, inga frågor är dumma har mycket stor erfarenhet av dmcrypt, kan inte så mycket om veracrypt och allt därtill då jag kör linux och dmcrypt är super powerful, men jag hade jag varit snut och viljat öppnat din krypterade disk/partition whatever hade jag önskat att du kört med true/veracrypt såklart för vet inte om det har stöd för delays exempelvis men whatever, kör gentoo själv, aldrig använt mint men bara installera hashcat värdelns bästa och snabbaste attacker för passwords och det är öppen källkod, har du tur har personen ett dåligt lösenord och du har dekrypterat veracrypt volymen på nolltid, attackera volymen enkelt genom att skriva in: 'hashcat -m 13721 --outfile=bingo.txt /mnt/windows/desktop/veravolume words.txt"

Veracrypt är helt åt helvete dålig ser jag nu, dom har ju inte stöd för keyfiles för en krypterad / - För att? Den suger.

Keyfiles ftw!

PS: Kör SD kort istället för usb om du är riktigt paranoid, dom är byte-sized

Edit: Din länk till guide såg helt värdelös ut och jag fick ont i huvudet direkt, men jag hoppas inte att du har en keyfile som inte är skyddat med gpg-kryptering?

Gör en ny keyfile isåfall är min högsta rekomendation, du gör så här ist då:
Benz0187 # dd if=/dev/urandom count=64 | gpg --symmetric --cipher-algo twofish-xts-plain64 --armor > /path/to/key.gpg
Benz0187 #gpg --decrypt /path/to/key.gpg | cryptsetup luksFormat ochduvetvadmanskaskriva

För att öppna enhetenskriv bara:
root #gpg --decrypt /path/to/key.gpg | cryptsetup open ochduvetvadmanskaskriva

använd naturligtvis inte key.gpg som namn på nyckeln, hoppas jag svarat lite på dina frågor iaf.

MVH

// Benz

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016

@Benz0187: Naturligtvis, jag rekomenderar dig alla dagar i veckan att använda dig av just UUID istället i alla lägen du kan istället för /dev/sd*, i fstab så ändrar du bara /root eller vad du nu har till UUID=uuidhär, exempelvis:

UUID=08u4qrq3ur /home ext4 defaults 0 1

För att få reda på uuid kör bara en blkid direkt i terminalen eller ls -l /dev/disk/by-uuid så finner du det.

Precis, byter du sata port så byter eventuellt enhetsbeteckning så sda kanske är sdb och du är nu fuckad, har du då UUID istället behöver du aldrig tänka på detta mer om du har många diskar te.x underlättar det något fruktansvärt.

Jag vet inte riktigt vad mint använder sig av för bootloader och jag tycker mint/ubuntu m.fl gör det mer komplicerat än vad det är.
Te.x i din /etc/default/grub om du använder dig av grub så kan du låsa upp din root enhet utan massa extra skit som de flesta distar använder sig av för att dekrytpera root med en keyfile. crypt_root=UUID=uuid till den paritionerade dmcryptenheten real_root=UUID=uuidtilldinrootpartition osv osv..

Jepp, helt riktigt det är ett sätt att använda sig av keyfiles men jag missförstod dig ja för om du bara vill öppna en enhet vid boot så gör såhär(jag gör så som man skall göra så jag har ingen aning om hur dom gjorde i guiden du följde):

nano /etc/crypttab

minbackup UUID=45f1f1af-025b-4395-8a33-7ef0a4709329 /home/user/dittnamn/mina.keys/keyfile.txt luks

Om du har en proper setup t.ex att dmcrypt startar med kerneln så kommer du nu ha en fil i /dev/mapper/ som heter minbackup.
Vill du automounta denna även så gör lägger du till i fstab en linje liknande denna:
UUID=minbackup /mnt/minbackup ext4 defaults 0 2

Och den skall vara mountad och klar, du bör se varför den inte mountas om du skriver dmesg i terminalen, dmesg | grep crypt te.x

Alla kommandon är naturligtvis by root, använder mig inte av sudo. Använd det jag skriver och lägg till sudo framför bara eller använd root som det är tänkt genom att skriva "sudo su" te.x så är du root.

Jag gillar inte länken då folk kopierar och klistrar och inte förstår vad som händer te.x. Varför inte skriva ut såhär te.x
cryptsetup --key-file /path/to/key --iter-time 5000 --hash sha512 --use-random --cipher twofish-xts-plain64 luksblabla som kommer ge dig en bättre setup? Och det hade inte varit för mycket begärt att nämna att man naturligtvis inte använder keyfile som namn på din keyfile som ger en hint till personen som hittar ens usb med en keyfile på te.x, bättre att döpa den till mittcv.txt och lägga in ett cv som också är ens keyfile Det är inte längre rekomenderat att använda /dev/blalabla utan UUID som du själv kommit på så tycker den suger helt enkelt. Ja det går om du lägger till ett lösenord te.x, skriv "cryptsetup luksDump /dev/sdb | grep BLED" ändra naturligtvis sdb till enhetsnamn så får du en bra överblick om vilka key slots som används. Men om bara använder dig av en keyfile på slot 0 men inget password på någon annan slot så nej, då är du körd och kommer inte kunna öppna din enhet på en annan dator.

Du förresten, vill du ha ett megatips som är lättare än att göra som du gör nu så kan du fixa detta i /etc/conf.d/dmcrypt och där förstår du super enkelt hur du skall ställa in saker och ting för att lära dig så ta dig en titt, nano /etc/conf.d/dmcrypt

## /home with regular keyfile
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey'

## /home with regular keyfile on removable media(such as usb-stick)
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey'
#remdev='/dev/sda1'

##/home with gpg protected key on removable media(such as usb-stick)
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey:gpg'
#remdev='/dev/sda1'

Finns massa mer exempel men editera det du behöver och ta bort # så bör det fungera för dig utan crypttab vid nästa boot.

peace.

Ursäkta mig, har du fortfarande kvar din keyfile på den enhet du har krypterat med lösenord så naturligtvis kan du låsa upp den utan problem via en annan dator bara din keyfile är kvar. Om din sysdisk som du öppnar med ett lösenord där dina keyfiles är dör och din keyfile inte går att nås då kan du inte bara öppna din enhet du krypterat med en keyfile med ett lösenord, du måste lägga till ett lösenord då redan nu som en backup så kan du öppna din enhet under boot för att slippa skriva in flera lösenord precis som du tänkt, skulle du vilja använda lösenordet istället går det lika bra naturligtvis via en annan dator om du tappat din keyfile. Du kan ha ditt lösenord + keyfile.

Har du bara en keyfile på din krypterade enhet nu så lägg då bara till ett lösenord såhär:
cryptsetup --key-file /dinnuvarande/keyfile/key.txt luksAddKey /dev/sdx så får du skriva in ett lösenord, klart.

Nu kan du välja, öppna din enhet via din keyfile såhär
cryptsetup --key-file /root/minakeys/keyfile.txt luksOpen /dev/sdx backup

Eller så öppnar du den med ett password:
cryptsetup luksOpen /dev/sdx backup
skriv in ditt lösenord, klart

Förlorar du din keyfile kan du nu öppna den via lösenordet du lagt till och glömmer du ditt lösenord kan du öppna din enhet via din keyfile på vilken dator som helst i hela världen bara du har din keyfile på en tex usb sticka. Har du inte lagt till ett lösenord utan bara lagt till en keyfile på din enhet så går det inte att använda sysdiskens lösenord att låsa upp den om du tänkte så utan du måste då lägga till lösenordet just på din luksenheten på sättet jag jag visade ovanför för att ha den möjligheten att komma åt datan via en dator om du tappat nyckeln.

Aja, hoppas du fattar annars får jag försöka förklara ÄNNU bättre lixom.

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/